[原创]DLL自卸载无模块注入源码(一)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]DLL自卸载无模块注入源码(一)

发表于: 2013-12-1 17:28 41315

[原创]DLL自卸载无模块注入源码(一)

chenwitch

2013-12-1 17:28

41315

  这种无模块注入的特点是：
     编译生成的是个DLL,使用正常的DLL注入方法，把该DLL注入到目标进程后，DLL会自己去做无模块操作，对于某些场合(你懂的)比较方便.
  原理:
    DllMain第一次执行时，重新申请一块内存把DLL文件进行模拟加载，然后再调用模拟加载PE的DllMain，第二次的DllMain就在非模块的内存中执行了。无模块加载过程大家可能都有了解。接下来就是卸载DLL自身了，这是关键点，不过说白了其实也很简单，只要控制好DllMain的返回值就行了详见源码
  还有种方法可以不用模拟PE加载，也由Dll本身来实现无模块
  附件中的TestDll.dl注入到目标进程后，无模块线程使用OutputDebugString每5秒输出一次"No Module Thread"打印消息

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

TestDll.rar （18.90kb，1465次下载）
Source.rar （9.17kb，1811次下载）

收藏・110

免费・5

支持

最新回复 (47) 1 2 ▶
Yecate 雪币： 129 活跃值： (2753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 2 楼好像很牛逼的样子啊 2013-12-1 18:34 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 3 楼如果注入后文件不存在就好啦 2013-12-1 18:42 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 4 楼汗……为何不直接插线程进去…… 2013-12-1 19:30 0
shijiheima 雪币： 176 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 58 粉丝 0 关注私信	shijiheima 5 楼什么原理？可简述下？ 2013-12-1 20:14 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 6 楼看了你的代码，想问一下怎样注入时dllmain的reason会为NO_MODULE_MARK？ 2013-12-1 20:54 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 7 楼我猜就是挂起所有线程，释放掉DLL，在原地址重新申请内存的那个，然后重新处理一下内存。gh0st里面应该就有这段代码。 PS：听人说这种方法在WOW64下无效。我自己没测试过，不知道是不是真的这样。 2013-12-1 20:58 0
PPTV 雪币： 9682 活跃值： (2486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 8 楼无模块注入源码，什么原理？可简述下？ 2013-12-1 21:26 0
ShadoWWinL 雪币： 246 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	ShadoWWinL 9 楼看了代码。原理dll先注入到进程。获得dll全路径。然后读取dll。申请一块ImageSize内存。按节表拷贝节内容。加载dll赋值IAT。然后重定位。最后调用NO_MODULE_MARK标记调用DllMain 完事后free dll。留下那块dll内存来干活。和MemoryLoadLibrary差不多。不过MemoryLoadLibrary写的更好些 2013-12-1 21:39 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 10 楼来关注一下 2013-12-1 22:53 0
shinck 雪币： 24 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	shinck 11 楼关注一下。。。 2013-12-1 23:50 0
岁月静好雪币： 137 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	岁月静好 12 楼 mark，支持。 2013-12-2 00:33 0
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	sinmon 13 楼膜拜大神 2013-12-2 02:07 0
修莫问雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	修莫问 14 楼 source里面的工程文件跟给的源码不是一个项目吧 2013-12-2 17:33 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 15 楼搞错了，，，已改 2013-12-2 20:25 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼找到了添加自己代码的地方 2013-12-2 23:19 0
修莫问雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	修莫问 17 楼感谢分享~ 2013-12-3 14:23 0
kenjidaye 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 31 粉丝 0 关注私信	kenjidaye 18 楼收藏了，DLL自卸载无模块注入源码 2013-12-3 14:40 0
ZSYL 雪币： 16 活跃值： (420) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 19 楼学习学习 2013-12-4 23:01 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 20 楼测试了下，可以执行自己的代码，执行exe的时候过不了卡巴，嘿嘿只是简单测试了下 2013-12-5 10:10 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 21 楼准确说是gh0st里面有这个代码的链接吧。没有直接用这个代码吧 3.6.0 2013-12-5 10:19 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 22 楼下了份gh0st 3.6的代码，没找到相关的代码啊，你说的是在哪个文件里的？ 2013-12-5 17:06 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 23 楼你搜索一下baidu... 里面是一个baidu的链接。 2013-12-5 17:17 0
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 24 楼 ∞ 看看了！！！ 2013-12-5 17:51 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 25 楼找到了，看了下代码，实现不一样的。这篇文章里为了卸载DLL自身做了很多操作，而且需要导出函数配合。我的代码里卸载DLL自身非常简单，FreeLibrary都没调用 2013-12-5 17:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chenwitch

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) 1 2 ▶
Yecate 雪币： 129 活跃值： (2753) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 2 楼好像很牛逼的样子啊 2013-12-1 18:34 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 3 楼如果注入后文件不存在就好啦 2013-12-1 18:42 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 4 楼汗……为何不直接插线程进去…… 2013-12-1 19:30 0
shijiheima 雪币： 176 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 58 粉丝 0 关注私信	shijiheima 5 楼什么原理？可简述下？ 2013-12-1 20:14 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 6 楼看了你的代码，想问一下怎样注入时dllmain的reason会为NO_MODULE_MARK？ 2013-12-1 20:54 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 7 楼我猜就是挂起所有线程，释放掉DLL，在原地址重新申请内存的那个，然后重新处理一下内存。gh0st里面应该就有这段代码。 PS：听人说这种方法在WOW64下无效。我自己没测试过，不知道是不是真的这样。 2013-12-1 20:58 0
PPTV 雪币： 9682 活跃值： (2486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 8 楼无模块注入源码，什么原理？可简述下？ 2013-12-1 21:26 0
ShadoWWinL 雪币： 246 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	ShadoWWinL 9 楼看了代码。原理dll先注入到进程。获得dll全路径。然后读取dll。申请一块ImageSize内存。按节表拷贝节内容。加载dll赋值IAT。然后重定位。最后调用NO_MODULE_MARK标记调用DllMain 完事后free dll。留下那块dll内存来干活。和MemoryLoadLibrary差不多。不过MemoryLoadLibrary写的更好些 2013-12-1 21:39 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 10 楼来关注一下 2013-12-1 22:53 0
shinck 雪币： 24 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	shinck 11 楼关注一下。。。 2013-12-1 23:50 0
岁月静好雪币： 137 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	岁月静好 12 楼 mark，支持。 2013-12-2 00:33 0
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	sinmon 13 楼膜拜大神 2013-12-2 02:07 0
修莫问雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	修莫问 14 楼 source里面的工程文件跟给的源码不是一个项目吧 2013-12-2 17:33 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 15 楼搞错了，，，已改 2013-12-2 20:25 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼找到了添加自己代码的地方 2013-12-2 23:19 0
修莫问雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	修莫问 17 楼感谢分享~ 2013-12-3 14:23 0
kenjidaye 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 31 粉丝 0 关注私信	kenjidaye 18 楼收藏了，DLL自卸载无模块注入源码 2013-12-3 14:40 0
ZSYL 雪币： 16 活跃值： (420) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 19 楼学习学习 2013-12-4 23:01 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 20 楼测试了下，可以执行自己的代码，执行exe的时候过不了卡巴，嘿嘿只是简单测试了下 2013-12-5 10:10 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 21 楼准确说是gh0st里面有这个代码的链接吧。没有直接用这个代码吧 3.6.0 2013-12-5 10:19 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 22 楼下了份gh0st 3.6的代码，没找到相关的代码啊，你说的是在哪个文件里的？ 2013-12-5 17:06 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 23 楼你搜索一下baidu... 里面是一个baidu的链接。 2013-12-5 17:17 0
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 24 楼 ∞ 看看了！！！ 2013-12-5 17:51 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 25 楼找到了，看了下代码，实现不一样的。这篇文章里为了卸载DLL自身做了很多操作，而且需要导出函数配合。我的代码里卸载DLL自身非常简单，FreeLibrary都没调用 2013-12-5 17:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复