DLL注入技术之依赖可信进程注入

DLL注入技术之依赖可信进程注入

依赖可信进程注入原理是利用Windows 系统中Services.exe这个权限较高的进程,首先将a.dll远线程注入到Services.exe中,再利用a.dll将b.dll远线程注入到待注入进程中。
这里提供一个小技巧,当注入到Services.exe里的DLL时,想在做完事情后悄无声息的将自己释放掉,在Windows 中有这样的一个API函数FreeLibraryAndExitThread(),它可以把自己卸载掉并且退出线程,具体代码如下:

  1. DWORD ThreadProc(CMfcServicesInjectDLLApp* pThis)
  2. {
  3. //切换mfc模块
  4. AFX_MANAGE_STATE(AfxGetStaticModuleState());
  5. pThis->m_InjectObj.Attach(
  6. _T("calc.exe"),
  7. _T("D:\\MyDll\\RelyServicesInject\\Debug\\MfcExeInjectDLL.dll"));
  8. //在线程中卸载掉自己并且退出线程
  9. FreeLibraryAndExitThread(pThis->m_hInstance,0);
  10. return 0;
  11. }
  12.  
  13. // CMfcServicesInjectDLLApp 初始化
  14. BOOL CMfcServicesInjectDLLApp::InitInstance()
  15. {
  16. DWORD dwThreadId;
  17. m_hThread = ::CreateThread(NULL, NULL,
  18. (LPTHREAD_START_ROUTINE)ThreadProc,
  19. this, NULL,&dwThreadId);
  20. return TRUE;
  21. }

依赖可信进程注入其实就是远线程注入的增强版,它利用了系统较高权限的进程进行远程注入,大大提高了注入的成功率,并在注入完毕后释放掉自己,降低了被查杀的可能性。
作者: xusir98
来源: 黑客反病毒 (http://bbs.hackav.com)

还没有评论,快来抢沙发!

发表评论

  • 😉
  • 😐
  • 😡
  • 😈
  • 😯
  • 😛
  • 😳
  • 😮
  • 😆
  • 💡
  • 😀
  • 👿
  • 😥
  • 😎
  • 😕