[求助]内存dll的远程线程注入，如何使用MemoryModule开源库？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]内存dll的远程线程注入，如何使用MemoryModule开源库？

发表于: 2018-2-4 21:03 10231

[求助]内存dll的远程线程注入，如何使用MemoryModule开源库？

hayde

2018-2-4 21:03

10231

思路：把dll文件放到exe的资源文件里，使用MemoryModule加载到内存，远程注入到其他软件的进程里，注射完exe关闭，这样本地和其他软件的进程中就不会查到dll,从而做到隐藏运行。

PTHREAD_START_ROUTINE lpStartAddr = PTHREAD_START_ROUTINE((int)MemoryLoadLibrary);

if (!lpStartAddr)

{

MessageBox(NULL, TEXT("GetProcAddress失败！"), TEXT("LOG"), MB_OK);

return FALSE;

}

hThread = CreateRemoteThread(hProcess, NULL, 0, lpStartAddr, lpBufAddr, 0, &dwThreadID);

if (!hThread)

{

MessageBox(NULL, TEXT("CreateRemoteThread失败！"), TEXT("LOG"), MB_OK);

return FALSE;

}

PTHREAD_START_ROUTINE lpStartAddr = PTHREAD_START_ROUTINE((int)MemoryLoadLibrary);

if (!lpStartAddr)

{

MessageBox(NULL, TEXT("GetProcAddress失败！"), TEXT("LOG"), MB_OK);

return FALSE;

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2018-8-11 22:17 被hayde编辑，原因：

收藏・11

免费・1

支持

最新回复 (23)
LYQINGYE 雪币： 54 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	LYQINGYE 2 楼 MemoryLoadLibrary(filedll_data,data_size) 2018-2-4 21:06 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 3 楼怎么和CreateRemoteThread结合使用呢？ 2018-2-4 22:05 0
夏船长雪币： 6 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	夏船长 4 楼 MemoryLoadLibrary返回的是HMODULE吧，不是函数地址 2018-2-4 22:49 0
youxiaxy 雪币： 2058 活跃值： (1651) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 3 关注私信	youxiaxy 5 楼远程需要处理很多东西，比如重定位，之类的。这是网上流传的提取出来的shellcode ，把shellcode和dll数据写入对方进程然后远程线程去 call shellcode。 load一个参数内存地址，free 一个参数，这俩可以直接 call, getproc 俩参数句柄，名字。注意名字要写入对方进程才行。。需要构造 call 代码并写入上传的附件：游戏分析.zip （2.99kb，156次下载） 2018-2-5 10:40 1
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 6 楼这个库好low啊，异常都不支持。内存注入你可以用下github有个叫反射注入的 2018-2-5 16:09 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 7 楼 StriveXjun 这个库好low啊，异常都不支持。内存注入你可以用下github有个叫反射注入的各有各的优点，反射式注入的DLL必须是自己特定编译，带自我加载功能的，而我说的这个是不需要对DLL做任何处理的，可以操作任意普通DLL 2018-2-5 22:22 0
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 8 楼 mark 2018-2-5 22:39 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 9 楼 hayde 各有各的优点，反射式注入的DLL必须是自己特定编译，带自我加载功能的，而我说的这个是不需要对DLL做任何处理的，可以操作任意普通DLL 如果不是自己的DLL，我有2种思路 1.去编译一份反射注入的DLL，把shellcode扣下来，做成一个区段，补到你要注入的DLL上去。缺点不支持加壳程序 2.估计就是你想要的内存注入。这个方法难点是让目标进程加载起来注入DLL的导入表依赖库。先申请远程内存，用这个地址，在本进程镜像对齐、重定位、修复导入表这些就不用说把。重点来了：你要写一段shellcode在调用dllmain前面载入这个DLL的依赖库，或者你用远程线程注入的方法把每个依赖库都加载起来（不推荐这种方法）。 2018-2-6 20:20 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 10 楼已删除 2018-2-7 17:57 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 11 楼 hayde 其实我就是想知道我现在已经把EXE资源文件中的dll用MemoryModule加载到了内存，我该怎么使用CreateRemoteThread做线程注入已删除 2018-2-7 17:58 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 12 楼已删除 2018-2-7 17:59 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 13 楼 StriveXjun 如果不是自己的DLL，我有2种思路 1.去编译一份反射注入的DLL，把shellcode扣下来，做成一个区段，补到你要注入的DLL上去。缺点不支持加壳程序 2.估计就是你想要的内存注入。这个 ... 其实我就是想知道我现在已经把EXE资源文件中的dll用MemoryModule加载到了内存，我该怎么使用CreateRemoteThread做线程注入 2018-2-7 17:59 0
LYQINGYE 雪币： 54 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	LYQINGYE 14 楼那就用这个shellcode 吧，实在有其它需求就自己改改吧 http://www.mengwuji.net/thread-2825-1-1.html 2018-2-7 18:47 0
sudozhange 雪币： 285 活跃值： (1095) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 75 关注私信	sudozhange 5 15 楼去找DLL的入口点地址，作为线程函数，MemoryModule这个库的实现，和反射式注入很像，不同的就在于映射到内存，前者是dropper本身，后者是payload本身，所以，你需要做的事找到入口点，或者更改库的代码，你可以看我最新的帖子里对于这个的分析 2018-2-7 19:45 0
FANTASYING 雪币： 2435 活跃值： (750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 149 粉丝 6 关注私信	FANTASYING 16 楼这种调用方式，你需要先注入一个loade dll吧 2018-2-28 11:38 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 17 楼 FANTASYING 这种调用方式，你需要先注入一个loade dll吧不用，资源文件加载dll就可以了 2018-3-14 11:40 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 18 楼我也想知道，有大牛在吗 2018-4-16 15:51 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 19 楼要自己写shellcode loader 最后于 2018-5-6 13:10 被MaMy编辑，原因： 2018-5-6 13:10 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 20 楼楼主解决了吗我也想实现中功能 2018-6-15 14:02 0
游乐娃子雪币： 7553 活跃值： (5392) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 21 楼利用系统DLL模块基址都一样的"BUG",把该库里面所有的API调用都改成动态调用,然后抠出来shellcode,远程到目标进程,把动态调用的API地址当做参数传进去即可,为了方便抠shellcode,最好还是把MemoryModule里面的重定位、修复导入表等函数合并成一个函数,如果可以,把所有API全部改成NTDLL的API,这样注入CSRSS这进程都没毛病. 2018-6-20 23:44 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 22 楼顶一下！ 2018-8-19 16:17 0
ggggg 雪币： 1757 活跃值： (944) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 0 关注私信	ggggg 23 楼 MemoryModule 仅做为当前进程内存加载用的，远程注入，你需要把这个MemoryModule弄成shellcode版本，扔到目标进程执行 2018-8-31 15:18 0
拨云雪币： 3 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	拨云 24 楼 9楼说的很明白了，另外你还需要注意，在目标进程中开内存，开线程也要猥琐，要不然还是会被日。 2018-8-31 19:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hayde

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
LYQINGYE 雪币： 54 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	LYQINGYE 2 楼 MemoryLoadLibrary(filedll_data,data_size) 2018-2-4 21:06 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 3 楼怎么和CreateRemoteThread结合使用呢？ 2018-2-4 22:05 0
夏船长雪币： 6 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	夏船长 4 楼 MemoryLoadLibrary返回的是HMODULE吧，不是函数地址 2018-2-4 22:49 0
youxiaxy 雪币： 2058 活跃值： (1651) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 3 关注私信	youxiaxy 5 楼远程需要处理很多东西，比如重定位，之类的。这是网上流传的提取出来的shellcode ，把shellcode和dll数据写入对方进程然后远程线程去 call shellcode。 load一个参数内存地址，free 一个参数，这俩可以直接 call, getproc 俩参数句柄，名字。注意名字要写入对方进程才行。。需要构造 call 代码并写入上传的附件：游戏分析.zip （2.99kb，156次下载） 2018-2-5 10:40 1
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 6 楼这个库好low啊，异常都不支持。内存注入你可以用下github有个叫反射注入的 2018-2-5 16:09 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 7 楼 StriveXjun 这个库好low啊，异常都不支持。内存注入你可以用下github有个叫反射注入的各有各的优点，反射式注入的DLL必须是自己特定编译，带自我加载功能的，而我说的这个是不需要对DLL做任何处理的，可以操作任意普通DLL 2018-2-5 22:22 0
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 8 楼 mark 2018-2-5 22:39 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 9 楼 hayde 各有各的优点，反射式注入的DLL必须是自己特定编译，带自我加载功能的，而我说的这个是不需要对DLL做任何处理的，可以操作任意普通DLL 如果不是自己的DLL，我有2种思路 1.去编译一份反射注入的DLL，把shellcode扣下来，做成一个区段，补到你要注入的DLL上去。缺点不支持加壳程序 2.估计就是你想要的内存注入。这个方法难点是让目标进程加载起来注入DLL的导入表依赖库。先申请远程内存，用这个地址，在本进程镜像对齐、重定位、修复导入表这些就不用说把。重点来了：你要写一段shellcode在调用dllmain前面载入这个DLL的依赖库，或者你用远程线程注入的方法把每个依赖库都加载起来（不推荐这种方法）。 2018-2-6 20:20 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 10 楼已删除 2018-2-7 17:57 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 11 楼 hayde 其实我就是想知道我现在已经把EXE资源文件中的dll用MemoryModule加载到了内存，我该怎么使用CreateRemoteThread做线程注入已删除 2018-2-7 17:58 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 12 楼已删除 2018-2-7 17:59 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 13 楼 StriveXjun 如果不是自己的DLL，我有2种思路 1.去编译一份反射注入的DLL，把shellcode扣下来，做成一个区段，补到你要注入的DLL上去。缺点不支持加壳程序 2.估计就是你想要的内存注入。这个 ... 其实我就是想知道我现在已经把EXE资源文件中的dll用MemoryModule加载到了内存，我该怎么使用CreateRemoteThread做线程注入 2018-2-7 17:59 0
LYQINGYE 雪币： 54 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	LYQINGYE 14 楼那就用这个shellcode 吧，实在有其它需求就自己改改吧 http://www.mengwuji.net/thread-2825-1-1.html 2018-2-7 18:47 0
sudozhange 雪币： 285 活跃值： (1095) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 121 粉丝 75 关注私信	sudozhange 5 15 楼去找DLL的入口点地址，作为线程函数，MemoryModule这个库的实现，和反射式注入很像，不同的就在于映射到内存，前者是dropper本身，后者是payload本身，所以，你需要做的事找到入口点，或者更改库的代码，你可以看我最新的帖子里对于这个的分析 2018-2-7 19:45 0
FANTASYING 雪币： 2435 活跃值： (750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 149 粉丝 6 关注私信	FANTASYING 16 楼这种调用方式，你需要先注入一个loade dll吧 2018-2-28 11:38 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 17 楼 FANTASYING 这种调用方式，你需要先注入一个loade dll吧不用，资源文件加载dll就可以了 2018-3-14 11:40 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 18 楼我也想知道，有大牛在吗 2018-4-16 15:51 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 19 楼要自己写shellcode loader 最后于 2018-5-6 13:10 被MaMy编辑，原因： 2018-5-6 13:10 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 20 楼楼主解决了吗我也想实现中功能 2018-6-15 14:02 0
游乐娃子雪币： 7553 活跃值： (5392) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 21 楼利用系统DLL模块基址都一样的"BUG",把该库里面所有的API调用都改成动态调用,然后抠出来shellcode,远程到目标进程,把动态调用的API地址当做参数传进去即可,为了方便抠shellcode,最好还是把MemoryModule里面的重定位、修复导入表等函数合并成一个函数,如果可以,把所有API全部改成NTDLL的API,这样注入CSRSS这进程都没毛病. 2018-6-20 23:44 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 22 楼顶一下！ 2018-8-19 16:17 0
ggggg 雪币： 1757 活跃值： (944) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 0 关注私信	ggggg 23 楼 MemoryModule 仅做为当前进程内存加载用的，远程注入，你需要把这个MemoryModule弄成shellcode版本，扔到目标进程执行 2018-8-31 15:18 0
拨云雪币： 3 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	拨云 24 楼 9楼说的很明白了，另外你还需要注意，在目标进程中开内存，开线程也要猥琐，要不然还是会被日。 2018-8-31 19:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复