[讨论]如何不释放资源DLL到硬盘并注入别的进程运行-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]如何不释放资源DLL到硬盘并注入别的进程运行

2014-5-7 23:33 13251

[讨论]如何不释放资源DLL到硬盘并注入别的进程运行

xJJuno

2014-5-7 23:33

13251

内存加载资源DLL的看到蛮多的了
不晓得如果注入的话要如何实现
假设现有现成的DLL
不对DLL做任何改写
仅把DLL作为资源或数组形式写在自身文件
如何编程实现

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・5

点赞・0

打赏

最新回复 (28) 1 2 ▶
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 670 粉丝 0 关注私信	AioliaSky 1 2014-5-8 00:45 2 楼 0 可执行文件，都是从硬盘加载到内存的不排除一些非常规手段，类似PE装载器，可以从自身加载
sidyhe 雪币： 2847 活跃值： (595) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 337 粉丝 9 关注私信	sidyhe 1 2014-5-8 01:04 3 楼 0 从系统的角度讲，任何镜像都是从文件加载的都是经过ZwOpenFile，ZwCreateSection，ZwMapViewSection，再插入LDR来实现的如果你不想释放文件，只能自己模拟镜像的加载，而模拟加载的镜像是不能被系统所承认的在系统看来，模拟加载的镜像仅仅是一块普通的内存而已
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 208 粉丝 1 关注私信	HelloCrack 2014-5-8 08:58 4 楼 0 用dll劫持
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-8 13:19 5 楼 0 自身加载的看到论坛上有不少人发过了但这样的注入方法能否实现呢
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-8 13:20 6 楼 0 看来实现的难度挺大
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-8 13:21 7 楼 0 想实现硬盘上不存在DLL的注入法
cvcvxk 雪币： 8861 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2014-5-8 13:37 8 楼 0 写个shellcode远程内存LoadDLL就行了~把DLL作为一块内存投递给shellcode就行了~ 在目标进程申请一大块内存，把DLL复制进去在目标进程申请另一个大块内存，把shellcode复制进去远程线程在目标进程运行 shellcode，参数是dll那大块内存。然后问题就解决了~
alazif 雪币： 74 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-11 14:58 9 楼 0 ←_←不知道这个想法可不可行, 首先 ,申请一块内存 ,把dll 按照peloader的方式加载到这块内存中. 然后申请一块 Mapping File ,吧dll那块内存拷贝到Mapping File里, 然后对目标进程创建远线程，远线程里执行包括申请一块内存，读取Mapping File并拷贝到那块内存中，再重定位和修复导入表.......
地狱怪客雪币： 339 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1142 粉丝 8 关注私信	地狱怪客 2 2014-5-11 15:36 10 楼 0 从网络加载DLL到内存。。。
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-11 18:10 11 楼 0 大块内存法
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-11 18:11 12 楼 0 同大块内存法的思路
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-11 18:13 13 楼 0 貌似都是要用shellcode才能实现了
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 185 关注私信	安于此生 34 2014-5-14 14:05 14 楼 0 恩,分析过类似样本是通过shellcode来实现的
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-14 17:36 15 楼 0 难怪找不到相关源码高大上的技术
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 104 粉丝 0 关注私信	youyouyue 2014-5-27 10:49 16 楼 0 www.rohitab.com/discuss/topic/40160-inject-code-into-other-processes-using-pe-injection/ 没有dll，所有功能都在exe中实现，无需释放文件到磁盘
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-5-27 11:18 17 楼 0 J师傅,上次不是给你发了一个load 的 shellcode吗.
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-27 18:34 18 楼 0 找了个还需要获取地址的这个竟然不用获取地址
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-27 18:35 19 楼 0 那个是LOAD硬盘DLL吧
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-5-27 19:54 20 楼 0 不用啊,传的一个参数是内存地址.
萧柚雪币： 26 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	萧柚 2014-5-28 17:25 21 楼 0 可以考虑采用代码注入，注入的代码中包含PeLoader代码.
heting 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	heting 2014-6-8 18:43 22 楼 0 可以无dll,也不用写shellcode 用数据结构，里面全是指针，往目标进程里写入多次，写好多，就用两段结构相减，就是要写大小。原理就是kernel32.dll里的函数的地址，都一样。
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2014-6-8 19:54 23 楼 0 同求一份。。。。8爷发个附件吧！
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-6-8 23:09 24 楼 0 那是一个朋友写的. 只支持xp.
madkarl 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	madkarl 2014-6-9 00:22 25 楼 0 简单说就是在程序里申请一块内存然后根据PE加载的格式把你的DLL填入内存就行了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

xJJuno

发帖

403

回帖

RANK

关注

私信

他的文章

[讨论]如何不释放资源DLL到硬盘并注入别的进程运行

[求助]不知有没有ARM跳转指令计算器

[原创]QuickSYS 开源

[原创]懒人方法破解VA_X(通杀免调试,不需破解基础,1分钟搞掂)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 670 粉丝 0 关注私信	AioliaSky 1 2014-5-8 00:45 2 楼 0 可执行文件，都是从硬盘加载到内存的不排除一些非常规手段，类似PE装载器，可以从自身加载
sidyhe 雪币： 2847 活跃值： (595) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 337 粉丝 9 关注私信	sidyhe 1 2014-5-8 01:04 3 楼 0 从系统的角度讲，任何镜像都是从文件加载的都是经过ZwOpenFile，ZwCreateSection，ZwMapViewSection，再插入LDR来实现的如果你不想释放文件，只能自己模拟镜像的加载，而模拟加载的镜像是不能被系统所承认的在系统看来，模拟加载的镜像仅仅是一块普通的内存而已
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 208 粉丝 1 关注私信	HelloCrack 2014-5-8 08:58 4 楼 0 用dll劫持
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-8 13:19 5 楼 0 自身加载的看到论坛上有不少人发过了但这样的注入方法能否实现呢
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-8 13:20 6 楼 0 看来实现的难度挺大
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-8 13:21 7 楼 0 想实现硬盘上不存在DLL的注入法
cvcvxk 雪币： 8861 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2014-5-8 13:37 8 楼 0 写个shellcode远程内存LoadDLL就行了~把DLL作为一块内存投递给shellcode就行了~ 在目标进程申请一大块内存，把DLL复制进去在目标进程申请另一个大块内存，把shellcode复制进去远程线程在目标进程运行 shellcode，参数是dll那大块内存。然后问题就解决了~
alazif 雪币： 74 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-11 14:58 9 楼 0 ←_←不知道这个想法可不可行, 首先 ,申请一块内存 ,把dll 按照peloader的方式加载到这块内存中. 然后申请一块 Mapping File ,吧dll那块内存拷贝到Mapping File里, 然后对目标进程创建远线程，远线程里执行包括申请一块内存，读取Mapping File并拷贝到那块内存中，再重定位和修复导入表.......
地狱怪客雪币： 339 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1142 粉丝 8 关注私信	地狱怪客 2 2014-5-11 15:36 10 楼 0 从网络加载DLL到内存。。。
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-11 18:10 11 楼 0 大块内存法
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-11 18:11 12 楼 0 同大块内存法的思路
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-11 18:13 13 楼 0 貌似都是要用shellcode才能实现了
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 185 关注私信	安于此生 34 2014-5-14 14:05 14 楼 0 恩,分析过类似样本是通过shellcode来实现的
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-14 17:36 15 楼 0 难怪找不到相关源码高大上的技术
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 104 粉丝 0 关注私信	youyouyue 2014-5-27 10:49 16 楼 0 www.rohitab.com/discuss/topic/40160-inject-code-into-other-processes-using-pe-injection/ 没有dll，所有功能都在exe中实现，无需释放文件到磁盘
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-5-27 11:18 17 楼 0 J师傅,上次不是给你发了一个load 的 shellcode吗.
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-27 18:34 18 楼 0 找了个还需要获取地址的这个竟然不用获取地址
xJJuno 雪币： 12237 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 403 粉丝 1 关注私信	xJJuno 2014-5-27 18:35 19 楼 0 那个是LOAD硬盘DLL吧
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-5-27 19:54 20 楼 0 不用啊,传的一个参数是内存地址.
萧柚雪币： 26 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	萧柚 2014-5-28 17:25 21 楼 0 可以考虑采用代码注入，注入的代码中包含PeLoader代码.
heting 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	heting 2014-6-8 18:43 22 楼 0 可以无dll,也不用写shellcode 用数据结构，里面全是指针，往目标进程里写入多次，写好多，就用两段结构相减，就是要写大小。原理就是kernel32.dll里的函数的地址，都一样。
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2014-6-8 19:54 23 楼 0 同求一份。。。。8爷发个附件吧！
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-6-8 23:09 24 楼 0 那是一个朋友写的. 只支持xp.
madkarl 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	madkarl 2014-6-9 00:22 25 楼 0 简单说就是在程序里申请一块内存然后根据PE加载的格式把你的DLL填入内存就行了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复