VC提前注入.net软件的方法

在之前几节介绍了各种注入方法，但是这些方法存在一些缺陷——对.net程序注入无效。（转载请指明出处）

这个可以理解，.net程序的代码不是汇编，而是微软自定义的IL中间语言。.net CLR如同虚拟机，解析并执行这些中间语言。

于是我们之前所说的修改文件入口点的方法在此是一点都不奏效的，谁知道E8（Call）在IL中是啥！

远线程方法也存在问题。因为我们要提前注入，所以创建进程时使用了CREATE_SUSPENDED以挂起方式启动进程，但是当我们CreateRemoteThread后，会惊人的发现远线程没有执行，更惊人的是傀儡进程（.net程序进程）的主线程复活了。我汇编级调试CreateRemoteThread发现，对于win32程序，远线程创建时挂起，执行了一些操作后，ResumeThread然远线程执行。而对于.net程序，ResumeThread后主线程复活。

那么怎么解决呢？我们可以注入.net CLR。如果全局注入.nt CLR可行，那么结果也不是我们预期的，因为我们只要监控我们关心的进程，其他的进程我们不想关心。因为我是VC程序员，对C#等一窍不通，所以搞这个问题等于是跨界。还好感谢Code Project和Daniel Pistelli，找到.NET Internals and Code Injection 这篇文章。该文中介绍了一种办法，该方法的大致思路是模拟一个.net CLR，该CLR可以运行.net程序。于是我们可以确定我们要注入的.net程序的“边界”。这点非常重要，其实如果.net程序已经运行起来后，我们使用远线程注入还是成功的。只是我们要做的是提前注入，什么是“前”？多少是“前”？这个“边界”就在此起到非常重要的角色。因为我们模拟.net CLR的程序在准备模拟傀儡.net程序前，.net环境肯定是准备好了的。于是我们只要在模拟之前，让我们的模拟程序自己加载我们准备注入的DLL——变相注入。这是个令人激动的方案。

using System;
using System.Collections.Generic;
using System.Windows.Forms;using System.Runtime.InteropServices;namespace rbloader
{static class Program{[DllImport("HookDll.dll")]static extern void ExportFun();[STAThread]static void Main(string[] args){ExportFun();Application.EnableVisualStyles();Application.SetCompatibleTextRenderingDefault(false);OpenFileDialog openFileDialog = new OpenFileDialog();openFileDialog.Filter = "Exe Files (*.exe)|*.exe|Dll Files (*.dll)| *.dll|All Files (*.*)|*.*";if (openFileDialog.ShowDialog() == DialogResult.OK){AppDomain ad = AppDomain.CreateDomain("subAppDomain");ad.ExecuteAssembly(openFileDialog.FileName);}}}
}

其中HookDll.dll是我前几篇文章中用到注入DLL文件，前篇文章的最后面提供了该文件工程下载地址。ExportFun是HookDll.dll中的导出函数，其拦截了CreateProcessW等函数。

其实这个方案也是存在缺陷的，因为它是模拟。我用模拟这个词，是因为真正的执行体是它自己而不是傀儡进程。傀儡进程文件只是模拟进程的输入信息。最直接的表现是：我们模拟进程叫A.exe，傀儡进程是B.exe，我们用A.exe运行B.exe，会发现进程列表中只存在A.exe而不存在B.exe。于是可以想到很多问题，比如我们在B.exe中获取当前进程的路径或者当前文件名，当A.exe运行B.exe后，相关逻辑获得是A.exe的路径和文件名。

虽然这是个很棒的东东，可惜其存在的缺陷也是很明显的。所以想提前注入所有进程（win32，.net，java），只在ring3层去做还是很困难的。有些问题还是要切入驱动去做。

工程代码。

（转载请指明出处）

VC提前注入.net软件的方法相关推荐

VC下提前注入进程的一些方法2——远线程带参数
在前一节中介绍了通过远线程不带参数的方式提前注入进程,现在介绍种远线程携带参数的方法.(转载请指明出处) 1.2 执行注入的进程需要传信息给被注入进程因为同样采用的是远线程注入,所以大致的思路是一样 ...
VC下提前注入进程的一些方法1——远线程不带参数
前些天一直在研究Ring3层的提前注入问题.所谓提前注入,就是在程序代码逻辑还没执行前就注入,这样做一般用于Hook API.(转载请指明出处)自己写了个demo,在此记下. 我的demo使用了两种注 ...
VC下提前注入进程的一些方法3——修改程序入口点
前两节中介绍了通过远线程进行注入的方法.现在换一种方法--修改进程入口点.(转载请指明出处) 在PE文件中,其中有个字段标识程序入口点位置.我们通过这个字段,到达程序入口点.PE文件的结构我这儿不讨论 ...
VC开发Windows客户端软件之旅——前言
从第一次拖着行李入京找活,至今已工作若干年了.这些年一直追逐自己的梦想,跑过三个城市,换了三份工作,认识了很多业内的朋友.和朋友们闲聊时,发现很多人都已经不再做客户端软件了.有的转去做管理,有的转去做 ...
【转】软件需求分析方法
软件需求分析(Software Reguirement Analysis)是研究用户需求得到的东西,完全理解用户对软件需求的完整功能,确认用户软件功能需求,建立可确认的.可验证的一个基本依据. 软件需 ...
安装爱剪辑计算机丢失,windows10系统下安装“爱剪辑”软件的方法
"爱剪辑"是一款功能十分强大的视频剪辑软件,十分简单易用,初学者也能轻松上手.那么,全新的windows10系统下该如何安装"爱剪辑"视频剪辑软件?接下来,就随 ...
Python开发多媒体管理软件实现方法
软件开发环境 python 3.7.3 pycharm Community 2020 PYQT5 教师端控制界面下拉列表显示全部已经连接的客户端ip地址对选中的设备进行查看设备信息,重启电脑,关闭 ...
20190925-ORA-00600错误及被注入的软件
昨天在家,打开数据库发现,连接不上,报错,ORA-00600.在网上找了很多方法试过都不行,最后看到有人说是被注入的软件,就是说oracle11.2.0.4的安装包被注入过了,超过300天就会出问题 ...
这个有争议的软件开发方法，陪伴一代程序员走过了 18 年
作者:熊节 / 插画:虎头锤一.生于滑雪度假村,它的名字叫敏捷敏捷是一种重视质量.追求快速反馈的软件开发方法. 2001 年 2 月,美国犹他州雪鸟滑雪度假村,"敏捷软件开发联盟&quo ...

VC提前注入.net软件的方法

VC提前注入.net软件的方法相关推荐

最新文章

热门文章