当前位置：首页 > 编程日记 > 正文

VC提前注入.net软件的方法

编程日记 2024-12-12 16:40:00

在之前几节介绍了各种注入方法，但是这些方法存在一些缺陷——对.net程序注入无效。（转载请指明出处）

这个可以理解，.net程序的代码不是汇编，而是微软自定义的IL中间语言。.net CLR如同虚拟机，解析并执行这些中间语言。

于是我们之前所说的修改文件入口点的方法在此是一点都不奏效的，谁知道E8（Call）在IL中是啥！

远线程方法也存在问题。因为我们要提前注入，所以创建进程时使用了CREATE_SUSPENDED以挂起方式启动进程，但是当我们CreateRemoteThread后，会惊人的发现远线程没有执行，更惊人的是傀儡进程（.net程序进程）的主线程复活了。我汇编级调试CreateRemoteThread发现，对于win32程序，远线程创建时挂起，执行了一些操作后，ResumeThread然远线程执行。而对于.net程序，ResumeThread后主线程复活。

那么怎么解决呢？我们可以注入.net CLR。如果全局注入.nt CLR可行，那么结果也不是我们预期的，因为我们只要监控我们关心的进程，其他的进程我们不想关心。因为我是VC程序员，对C#等一窍不通，所以搞这个问题等于是跨界。还好感谢Code Project和Daniel Pistelli，找到.NET Internals and Code Injection 这篇文章。该文中介绍了一种办法，该方法的大致思路是模拟一个.net CLR，该CLR可以运行.net程序。于是我们可以确定我们要注入的.net程序的“边界”。这点非常重要，其实如果.net程序已经运行起来后，我们使用远线程注入还是成功的。只是我们要做的是提前注入，什么是“前”？多少是“前”？这个“边界”就在此起到非常重要的角色。因为我们模拟.net CLR的程序在准备模拟傀儡.net程序前，.net环境肯定是准备好了的。于是我们只要在模拟之前，让我们的模拟程序自己加载我们准备注入的DLL——变相注入。这是个令人激动的方案。

using System;
using System.Collections.Generic;
using System.Windows.Forms;using System.Runtime.InteropServices;namespace rbloader
{static class Program{[DllImport("HookDll.dll")]static extern void ExportFun();[STAThread]static void Main(string[] args){ExportFun();Application.EnableVisualStyles();Application.SetCompatibleTextRenderingDefault(false);OpenFileDialog openFileDialog = new OpenFileDialog();openFileDialog.Filter = "Exe Files (*.exe)|*.exe|Dll Files (*.dll)| *.dll|All Files (*.*)|*.*";if (openFileDialog.ShowDialog() == DialogResult.OK){AppDomain ad = AppDomain.CreateDomain("subAppDomain");ad.ExecuteAssembly(openFileDialog.FileName);}}}
}

其中HookDll.dll是我前几篇文章中用到注入DLL文件，前篇文章的最后面提供了该文件工程下载地址。ExportFun是HookDll.dll中的导出函数，其拦截了CreateProcessW等函数。

其实这个方案也是存在缺陷的，因为它是模拟。我用模拟这个词，是因为真正的执行体是它自己而不是傀儡进程。傀儡进程文件只是模拟进程的输入信息。最直接的表现是：我们模拟进程叫A.exe，傀儡进程是B.exe，我们用A.exe运行B.exe，会发现进程列表中只存在A.exe而不存在B.exe。于是可以想到很多问题，比如我们在B.exe中获取当前进程的路径或者当前文件名，当A.exe运行B.exe后，相关逻辑获得是A.exe的路径和文件名。

虽然这是个很棒的东东，可惜其存在的缺陷也是很明显的。所以想提前注入所有进程（win32，.net，java），只在ring3层去做还是很困难的。有些问题还是要切入驱动去做。

工程代码。

（转载请指明出处）

https://www.dkcj.cn/info/31526.html

VC提前注入.net软件的方法

相关文章：

活动推荐：语音和语言技术在自然交互中的实践沙龙

JS字符串 window.open() window.opener window.name window对象总结

dedecms /member/reg_new.php SQL Injection Vul

VC下通过进程ID获取进程镜像文件路径的方法及其存在的缺陷

腾讯云100亿元目标达成，发阳光普照奖iPhone 11 Pro，你酸了吗？

分享一个python cookbook的在线教程地址

优化系统后VS启动不了问题的一种解决方案

懂数学的程序员能有多吃香？这是我听过最好的答案丨颠覆认知

基于OpenCasCade的程序发布问题

Unity3D移植到自己的Android程序

一种注册表沙箱的思路、实现

PyTorch实现L2和L1正则化的方法 | CSDN博文精选

构建插件式的应用程序框架(六)－－－－通讯机制(ZT)

【翻译】将Ext JS Grid转换为Excel表格

AI研究过于集中狭隘，我们是不是该反思了？

上周回顾：微软与苹果比赛谁更“不安全”

一种注册表沙箱的思路、实现——注册表的一些基础知识

bzoj 2565: 最长双回文串 manacher算法

44岁的微软如何刷新未来？

一种注册表沙箱的思路、实现——Hook Nt函数

浅析Struts 体系结构与工作原理(图)

2015第22周一Web性能测试工具及IE扩展区别

一种注册表沙箱的思路、实现——研究Reactos中注册表函数的实现1

面试大厂背怼！这都搞不定，你只能做“搬运工”！

net程序架构开发

Java面向对象学习笔记 -- 6(内部类、Timer)

30年间，软件开发行业为何Bug纷飞？

去掉字符串两端的全角空格和半角空格（含源代码）

一种注册表沙箱的思路、实现——研究Reactos中注册表函数的实现2

云计算安全解决方案白皮书(一)