c++注入dll调用call
1.先写个我们要调用的函数
#include<iostream>
using namespace std;
void test(int a, int& b)
{
cout << a << b << endl;
b = a + b;
}
void main()
{
int a = 2;
int b=0;
test(a, b);
cout << b << endl;
system("pause");
}
这个我们写了一个很简单的函数,一个main函数和test函数。我们后面要通过动态注入dll调用这个test函数。
我们先运行一下。看看结果
20
2
请按任意键继续. . .
输入这个,看了没有任何问题。
2.写一个简单的dll
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH: {
MessageBox(GetForegroundWindow(), L"测试", L"成功注入", 1);
}
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
我们在vs2019创建一个dll文件,在DLL_PROCESS_ATTACH下面加一行语句。
MessageBox(GetForegroundWindow(), L"测试", L"成功注入", 1);
这个是用来测试我们后面注入dll弹出的窗口。
3.写注入程序
#include<windows.h>
#include"tchar.h"
#include<stdio.h>
int get_id(LPCTSTR name) {
HWND hWnd = FindWindow(NULL,name);
if (hWnd == NULL){ //如果无法获取句柄则报错
printf("无法获取窗口句柄,请检查进程是否存在!\n");
system("pause");
return -1;
}
DWORD pro_id;
GetWindowThreadProcessId(hWnd, &pro_id); //获取进程ID
if(pro_id == 0){
printf("无法获取进程ID\n");
system("pause");
return 0;
}
printf("进程id: %d\n",pro_id);
//打开进程对象,并获取进程句柄
/*ANDLE hpro = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ, FALSE, pro_id);
if (hpro == 0){
printf("无法获取进程句柄");
}
printf("进程句柄id: %d\n",hpro); */
return (int)pro_id;
}
BOOL InjectDll(LPCTSTR szDllPath, LPCTSTR name)
{
DWORD dwPID = (DWORD)get_id(name);
HANDLE hProcess = NULL, hThread = NULL;
HMODULE hMod = NULL;
LPVOID pRemoteBuf = NULL;
DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1) * sizeof(TCHAR);
LPTHREAD_START_ROUTINE pThreadProc;
//1.使用dwPID获取目标进程句柄
if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID))) {
_tprintf(L"OpenProcess(%d) failed!![%d]\n", dwPID, GetLastError());
return FALSE;
}
//2.在目标进程中分配szDllName大小的内存
pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize , MEM_COMMIT, PAGE_READWRITE);
//3.将myhack.dll路径写入 分配的内存。
WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);
//4.获取LoadLibrary()API的地址
hMod = GetModuleHandle(L"kernel32.dll");
pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");
//5.在notepad中运行线程.
hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
WaitForSingleObject(hThread, INFINITE);
//CloseHandle(hThread);
//CloseHandle(hProcess);
return TRUE;
}
int _tmain(int argc, TCHAR *argv[])
{
//injectdll
if (InjectDll(argv[1],argv[2]))
_tprintf(L"InjectDll(\"%s\") sucess!!!\n", argv[2]);
//MessageBox(NULL, TEXT("1"), TEXT("warn"), 0);
else
_tprintf(L"InjectDll(\"%s\") failed!!!\n", argv[2]);
//MessageBox(NULL, TEXT("2"), TEXT("warn"), 0);
}
这个程序的话,我是直接从网上拿的,拿过来改了一点,打包成exe,通过命令行进行调用。
4.测试注入
注入.exe 注入dll.dll test.exe
在命令行里面就这样进行调用。这个test.exe就是你程序的名字,你可以用vs2019的spy+=进行查看,就是你的程序标题
))
调用成功的话,会自动弹出这个。
5.完善dll程序
我们的目标是在dll调用到test.exe的test函数,这个dll还没有达到我们的目标,我们还需要继续完善。
我们想调用test函数,就必须知道这个函数在内存的地址,但是每次重启电脑,地址都是变化的。我们需要找到基址。这里我们改一下dll,让他输出程序的基址
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH: {
MessageBox(GetForegroundWindow(), L"测试", L"成功注入", 1);
HMODULE hModule = GetModuleHandle(NULL);
WCHAR wszhModule[MAX_PATH] = {0};
swprintf_s(wszhModule, L"DLL里调用GetModuleHandle(NULL)获取到的地址为:0x%x", \
(DWORD)hModule);
MessageBoxW(0, wszhModule, L"提示", 0);
}
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
我们重新生成,再次注入试试。
记住这个地址,后面我们需要这个地址。
我们打开x64dbg来进行调试。我们把生成的test.exe进行调试。这个自己写的代码找起来还是比较容易的
007919CF | C745 F4 02000000 | mov dword ptr ss:[ebp-C],2 |将2推入栈中
007919D6 | C745 E8 00000000 | mov dword ptr ss:[ebp-18],0 |将0推到栈中
007919DD | 8D45 E8 | lea eax,dword ptr ss:[ebp-18] |将0的地址放到eax里面
007919E0 | 50 | push eax |将eax推入栈中
007919E1 | 8B4D F4 | mov ecx,dword ptr ss:[ebp-C] |将2给ecx
007919E4 | 51 | push ecx |将ecx推入栈中
007919E5 | E8 F2F6FFFF | call test.7910DC |这个就是test的call
007919EA | 83C4 08 | add esp,8 |还原堆栈
我们可以找到这个代码,我们找到call的地址7910dc。和之前的0x780000相减得到偏移0x110DC。有了这个偏移,我们后面就可以直接调用这个call了。
接下来,我们写一个函数
void zhu(DWORD baseaddr) {
DWORD dwCallAddr = baseaddr + (DWORD)0x110DC;
printf("%x\n", (int)dwCallAddr);
int a = 2;
int& r = a;
__asm {
push r
push a
call dwCallAddr
add esp,8
}
printf("%d", r);
}
这个函数很简单,里面内嵌的汇编代码,用来调用test的call,首先我们申明一个a=2,和一个引用类型r。先push r,在push a。这个可以和上面拿到的汇编进行对比,这个是按照c语言的调用约定来的,这个push的顺序是不能变的哈,后面直接调用call。后面用add esp,8来还原堆栈。不然会报错。接下来就将zhu函数放到DLL_PROCESS_ATTACH下面进行调用
6.进行测试
将dll和注入exe,以及测试程序都放到同一个文件夹,dll和测试程序一定要同一个文件夹哦,然后打开cmd,输入命令。开始测试。不出意外的话,应该会弹出两个窗口,一个是注入成功窗口,一个是输出基址的窗口。接着输出结果也会变
20
2
请按任意键继续. . . 7910dc
22
4
会变成这样,可以看到我们顺利调用了这个test的test函数。
发表于 2023-5-9 23:11
