Lai*_*aie 4 windows winapi operating-system dll-injection
我正在制作一个修改目标进程行为的'mod'dll.我成功地注入了我的dll并挂了一些目标函数.
但是当我需要在主模块启动之前挂钩一些API(更清楚地,在入口点之前)时,需要做更多的工作.我需要使用CREATE_SUSPENDED属性手动启动目标程序,注入,然后恢复.但是一些应用程序从它自己的启动程序开始,有些应用程序通常从x64进程开始......这样的各种环境使其很难实现自动化.
似乎是最好的方法是为所有进程注入挂钩dll并处理CreateProcess.但有时它需要UAC,x64开发.
任何意见,将不胜感激.
您可以滥用图像文件执行选项并将修改DLL注册为"调试器"(有关详细信息,请参见如何:自动启动调试器).
程序很简单:
每当启动victim.exe时,您的修改二进制文件都会在加载victim.exe(及其依赖项)之后启动,但在执行开始之前.无论victim.exe如何启动,都会发生这种情况.
还要注意的是在64位操作系统的关键体现在Wow6432Node一样,所以你的修改二进制文件将推出32位以及victim.exe的64位版本.
另一种方法是有你的DLL加载到每一个可执行文件(至少是那些对user32.dll中链接)是滥用AppInit_DLLs注册表项(也由名字去Deadlock_Or_Crash_Randomly_DLLs).这甚至比将随机可执行文件注册为调试器更麻烦,但仍然是任何自尊的恶意软件作者绝对需要熟悉的黑客攻击.另请注意,此-uhm功能可能在将来的Windows版本中不可用.必须准备Windows Vista,Windows 7和Windows Server 2008 R2才能使AppInit_DLL正常工作.
| 归档时间: |
|
| 查看次数: |
4893 次 |
| 最近记录: |