1.先写个我们要调用的函数
#include<iostream> using namespace std; void test(int a, int& b) { cout << a << b << endl; b = a + b; } void main() { int a = 2; int b=0; test(a, b); cout << b << endl; system("pause"); }
这个我们写了一个很简单的函数,一个main函数和test函数。我们后面要通过动态注入dll调用这个test函数。
我们先运行一下。看看结果
20 2 请按任意键继续. . .
输入这个,看了没有任何问题。
2.写一个简单的dll
switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: { MessageBox(GetForegroundWindow(), L"测试", L"成功注入", 1); } case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; }
我们在vs2019创建一个dll文件,在DLL_PROCESS_ATTACH下面加一行语句。
MessageBox(GetForegroundWindow(), L"测试", L"成功注入", 1);
这个是用来测试我们后面注入dll弹出的窗口。
3.写注入程序
#include<windows.h> #include"tchar.h" #include<stdio.h> int get_id(LPCTSTR name) { HWND hWnd = FindWindow(NULL,name); if (hWnd == NULL){//如果无法获取句柄则报错 printf("无法获取窗口句柄,请检查进程是否存在!\n"); system("pause"); return -1; } DWORD pro_id; GetWindowThreadProcessId(hWnd, &pro_id);//获取进程ID if(pro_id == 0){ printf("无法获取进程ID\n"); system("pause"); return 0; } printf("进程id: %d\n",pro_id); //打开进程对象,并获取进程句柄 /*ANDLE hpro = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ, FALSE, pro_id); if (hpro == 0){ printf("无法获取进程句柄"); } printf("进程句柄id: %d\n",hpro); */ return (int)pro_id; } BOOL InjectDll(LPCTSTR szDllPath, LPCTSTR name) { DWORD dwPID = (DWORD)get_id(name); HANDLE hProcess = NULL, hThread = NULL; HMODULE hMod = NULL; LPVOID pRemoteBuf = NULL; DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1) * sizeof(TCHAR); LPTHREAD_START_ROUTINE pThreadProc; //1.使用dwPID获取目标进程句柄 if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID))) { _tprintf(L"OpenProcess(%d) failed!![%d]\n", dwPID, GetLastError()); return FALSE; } //2.在目标进程中分配szDllName大小的内存 pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize , MEM_COMMIT, PAGE_READWRITE); //3.将myhack.dll路径写入分配的内存。 WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL); //4.获取LoadLibrary()API的地址 hMod = GetModuleHandle(L"kernel32.dll"); pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW"); //5.在notepad中运行线程. hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL); WaitForSingleObject(hThread, INFINITE); //CloseHandle(hThread); //CloseHandle(hProcess); return TRUE; } int _tmain(int argc, TCHAR *argv[]) { //injectdll if (InjectDll(argv[1],argv[2])) _tprintf(L"InjectDll(\"%s\") sucess!!!\n", argv[2]); //MessageBox(NULL, TEXT("1"), TEXT("warn"), 0); else _tprintf(L"InjectDll(\"%s\") failed!!!\n", argv[2]); //MessageBox(NULL, TEXT("2"), TEXT("warn"), 0); }
这个程序的话,我是直接从网上拿的,拿过来改了一点,打包成exe,通过命令行进行调用。
4.测试注入
注入.exe 注入dll.dll test.exe
在命令行里面就这样进行调用。这个test.exe就是你程序的名字,你可以用vs2019的spy+=进行查看,就是你的程序标题
调用成功的话,会自动弹出这个。
5.完善dll程序
我们的目标是在dll调用到test.exe的test函数,这个dll还没有达到我们的目标,我们还需要继续完善。
我们想调用test函数,就必须知道这个函数在内存的地址,但是每次重启电脑,地址都是变化的。我们需要找到基址。这里我们改一下dll,让他输出程序的基址
switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: { MessageBox(GetForegroundWindow(), L"测试", L"成功注入", 1); HMODULE hModule = GetModuleHandle(NULL); WCHAR wszhModule[MAX_PATH] = {0}; swprintf_s(wszhModule, L"DLL里调用GetModuleHandle(NULL)获取到的地址为:0x%x", \ (DWORD)hModule); MessageBoxW(0, wszhModule, L"提示", 0); } case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; }
我们重新生成,再次注入试试。
记住这个地址,后面我们需要这个地址。
我们打开x64dbg来进行调试。我们把生成的test.exe进行调试。这个自己写的代码找起来还是比较容易的
007919CF | C745 F4 02000000 | mov dword ptr ss:[ebp-C],2 |将2推入栈中 007919D6 | C745 E8 00000000 | mov dword ptr ss:[ebp-18],0 |将0推到栈中 007919DD | 8D45 E8 | lea eax,dword ptr ss:[ebp-18] |将0的地址放到eax里面 007919E0 | 50 | push eax |将eax推入栈中 007919E1 | 8B4D F4 | mov ecx,dword ptr ss:[ebp-C] |将2给ecx 007919E4 | 51 | push ecx |将ecx推入栈中 007919E5 | E8 F2F6FFFF | call test.7910DC |这个就是test的call 007919EA | 83C4 08 | add esp,8 |还原堆栈
我们可以找到这个代码,我们找到call的地址7910dc。和之前的0x780000相减得到偏移0x110DC。有了这个偏移,我们后面就可以直接调用这个call了。
接下来,我们写一个函数
void zhu(DWORD baseaddr) { DWORD dwCallAddr = baseaddr + (DWORD)0x110DC; printf("%x\n", (int)dwCallAddr); int a = 2; int& r = a; __asm { push r push a call dwCallAddr add esp,8 } printf("%d", r); }
这个函数很简单,里面内嵌的汇编代码,用来调用test的call,首先我们申明一个a=2,和一个引用类型r。先push r,在push a。这个可以和上面拿到的汇编进行对比,这个是按照c语言的调用约定来的,这个push的顺序是不能变的哈,后面直接调用call。后面用add esp,8来还原堆栈。不然会报错。接下来就将zhu函数放到DLL_PROCESS_ATTACH下面进行调用
6.进行测试
将dll和注入exe,以及测试程序都放到同一个文件夹,dll和测试程序一定要同一个文件夹哦,然后打开cmd,输入命令。开始测试。不出意外的话,应该会弹出两个窗口,一个是注入成功窗口,一个是输出基址的窗口。接着输出结果也会变
20 2 请按任意键继续. . . 7910dc 22 4
会变成这样,可以看到我们顺利调用了这个test的test函数