[求助][讨论]求各位大佬帮我看看，dll注入到od进程，HOOK OpenProcess之后，od还是能打开程序调试-社区版务-看雪-安全社区|安全招聘|kanxue.com

[求助][讨论]求各位大佬帮我看看，dll注入到od进程，HOOK OpenProcess之后，od还是能打开程序调试

发表于: 2021-11-6 22:10 25007

[求助][讨论]求各位大佬帮我看看，dll注入到od进程，HOOK OpenProcess之后，od还是能打开程序调试

Whoami默

2021-11-6 22:10

25007

1	`自己的这个Dll 做了HOOK掉OpenProcess这个操作，将其远程线程注入到OD进程中后，od还是可以打开程序，这是为什么啊？？求助，感谢感谢大家`

DLL的代码：

#include<windows.h>
#include"1.h"
#include<tchar.h>
unsigned char g_OldOpcode[5] = {};
unsigned char g_NewOpcode[5] = {0XE9};
LPVOID g_OpAddr = 0;
HANDLE
WINAPI
MyOpenProcess(
    _In_ DWORD dwDesiredAccess,
    _In_ BOOL bInheritHandle,
    _In_ DWORD dwProcessId
)
{
    OffHook();
    MessageBox(0, L"HELLO", 0, 0);
    HANDLE h = OpenProcess(PROCESS_ALL_ACCESS, FALSE, -1);
    OnHook();
    return h;
}
 
void Init()
{
    HMODULE handle = GetModuleHandle(L"kernel32.dll");
    g_OpAddr = GetProcAddress(handle, "OpenProcess");
 
    memcpy(g_OldOpcode, g_OpAddr, 5);
 
    DWORD offset = (DWORD)MyOpenProcess - (DWORD)g_OpAddr - 5;
    memcpy(g_NewOpcode + 1, &offset, 4);
 
 
}
 
void OnHook()
{
    DWORD oldProtect = 0;
    VirtualProtect(g_OpAddr, 1, PAGE_EXECUTE_READWRITE, &oldProtect);
    memcpy(g_OpAddr, g_NewOpcode, 5);
    VirtualProtect(g_OpAddr, 1, oldProtect, &oldProtect);
}
 
void OffHook()
{
    DWORD oldProtect = 0;
    VirtualProtect(g_OpAddr, 1, PAGE_EXECUTE_READWRITE, &oldProtect);
    memcpy(g_OpAddr, g_OldOpcode, 5);
    VirtualProtect(g_OpAddr, 1, oldProtect, &oldProtect);
}

DLLMain的代码：

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "framework.h"
#include"1.h"
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        MessageBox(0, L"已注入", 0, 0);
        Init();
        OnHook();
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        OffHook();
        break;
    }
    return TRUE;
}

远程线程注入的代码（没问题）：

#include<windows.h>
 
 
int main()
{
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 16540);
    LPVOID pAddr = VirtualAllocEx(hProcess, 0, 1, MEM_COMMIT, PAGE_READWRITE);
    const WCHAR* p = L"C:\\Users\\27684\\source\\repos\\ConsoleApplication4\\Debug\\Project1.dll";
    DWORD dwRealSize = 0;
    WriteProcessMemory(hProcess, pAddr, p, 2 * (wcslen(p) + 1), &dwRealSize);
    HANDLE hThread = CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)LoadLibrary, pAddr, NULL, NULL);
    WaitForSingleObject(hThread, -1);
    VirtualFreeEx(hProcess, pAddr, 0, MEM_RELEASE);
    CloseHandle(hProcess);
    CloseHandle(hThread);
}

不知道哪里有问题？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (3)
Whoami默雪币： 10 活跃值： (1168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	Whoami默 2 楼求助啊 2021-11-6 22:15 0
R0g 雪币： 1282 活跃值： (4570) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 129 粉丝 105 关注私信	R0g 2 3 楼用OD调试OD试试 2021-11-8 08:56 0
阳台北部雪币： 2392 活跃值： (1055) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	阳台北部 4 楼用Procmon apimonitor之类的工具看一下他调的是哪个函数 2021-11-8 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Whoami默

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (3)
Whoami默雪币： 10 活跃值： (1168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	Whoami默 2 楼求助啊 2021-11-6 22:15 0
R0g 雪币： 1282 活跃值： (4570) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 129 粉丝 105 关注私信	R0g 2 3 楼用OD调试OD试试 2021-11-8 08:56 0
阳台北部雪币： 2392 活跃值： (1055) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	阳台北部 4 楼用Procmon apimonitor之类的工具看一下他调的是哪个函数 2021-11-8 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复