DLL另類劫持注入法
// Win32Project2.cpp : 定义 DLL 应用程序的导出函数。//
///////////////////////////////////////////////////////////////////////////////////////////////////////
/*
DLL名称劫持注入法
当游戏运行加载一个重要的的DLL模块时,我们让他来加载我们需要注入的DLL和原来那个必须加载的游戏DLL模块。
比如说一些游戏加载游戏本身DLL“client.dll”。
游戏DLL“client.dll”重命名为“client- original.dll”。
把我们需要注入的DLL重命名成“client.dll”,并把2个DLL放在一起。
把下面源码的client.exe更换成你需要注入的游戏的进程名。
原理:
游戏运行时先加载我们伪造的DLL“client.dll”,但由于关键函数还在原来的client.dll中。
所以先将自身复制为临时文件“client - temp.dll”
加载后然后卸载本身。替换原来的“client.dll”并加载。
然后,它运行一个bat脚本,将等待游戏退出,一旦游戏退出。
bat脚本将复制临时文件“client - temp.dll”到“client.dll”,
这样它就会在下次游戏启动时继续加载。
*/
#include "stdafx.h"
#include "fstream"
using namespace std;
void 替换(char* szBuffer, size_t bufferSize, char* from, char* to)
{
char* szpTemp,
*szpTempBuffer,
*szpCurrentBuffer;
szpCurrentBuffer = szBuffer;
szpTempBuffer = new char;
while (true)
{
szpTemp = strstr(szpCurrentBuffer, from);
if (szpTemp != NULL)
{
if (strlen(szBuffer) - strlen(from) + strlen(to) < bufferSize)
{
strcpy(szpTempBuffer, szpTemp + strlen(from));
*szpTemp = '\0';
strcat(szpTemp, to);
szpCurrentBuffer = szpTemp + strlen(to);
strcat(szpTemp, szpTempBuffer);
}
else
break;
}
else
break;
}
delete[] szpTempBuffer;
}
DWORD WINAPI ThreadMain(LPVOID lpvParam)
{
MessageBox(0, "劫持注入成功", "hello", 0);
return 0;
}
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, LPVOID lpvReserved)
{
BYTE* pCave;
ifstream in;
ofstream out;
BOOL bLoad;
FARPROC targetFunction;
HMODULE hTargetModule;
char* szpName;
char szFileName,
szBuffer,
szTempBuffer;
char* szpTargetModule;
STARTUPINFO si = { sizeof(STARTUPINFO) };
PROCESS_INFORMATION pi;
char szCmdLine;
bLoad = FALSE;
if (dwReason == DLL_PROCESS_ATTACH)
{
GetModuleFileName(hModule, szFileName, sizeof(szFileName));
strcpy(szBuffer, szFileName);
// 判断自身是否为临时文件,如果不是临时文件将创建并加载
if (strstr(szFileName, " - temp.dll") == NULL)
{
替换(szBuffer, sizeof(szBuffer), ".dll", " - temp.dll");
if (CopyFile(szFileName, szBuffer, FALSE) != NULL)
{
szpTargetModule = (char*)VirtualAlloc(NULL, 1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
strcpy(szpTargetModule, szBuffer);
hTargetModule = GetModuleHandle("Kernel32.dll");
targetFunction = GetProcAddress(hTargetModule, "LoadLibraryA");
pCave = (BYTE*)VirtualAlloc(NULL, 0x10, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
*pCave++ = 0x68;
*(DWORD*)pCave = (DWORD)szpTargetModule;
pCave += 4;
*pCave++ = 0xe8;
*(DWORD*)pCave = (DWORD)((DWORD)targetFunction - (DWORD)pCave - 4);
pCave += 4;
*pCave++ = 0xc2;
*pCave++ = 0x04;
*pCave++ = 0x00;
pCave -= 13;
CreateThread(0, 0, (LPTHREAD_START_ROUTINE)pCave, 0, 0, 0);
}
}
else
{
// 如果是临时的DLL
替换(szBuffer, sizeof(szBuffer), " - temp.dll", ".dll");
// 等待遊戲主進程是否佔用此DLL等待寫入權限
do
{
in.open(szBuffer, ios::out);
if (in.is_open() == true)
{
in.close();
break;
}
Sleep(1000);
} while (true);
// 写一个bat脚本,一旦游戏退出,恢复自身文件名,下次可以继续加载
////把下面的client.exe改成你需要注入的游戏进程名
out.open("bat.bat", ios::out);
if (out.is_open() == true)
{
out << ":WAITLOOP" << endl;
out << "tasklist /FI \"IMAGENAME eq Client.exe\" 2>NUL | find /I /N \"Client.exe\">NUL" << endl;
out << "if \"%ERRORLEVEL%\"==\"0\" goto RUNNING" << endl;
out << "goto NOTRUNNING" << endl;
out << ":RUNNING" << endl;
out << "timeout /t 2" << endl;
out << "goto WAITLOOP" << endl;
out << ":NOTRUNNING" << endl;
out << "copy \"" << szFileName << "\" \"" << szBuffer << "\"" << endl;
out.close();
strcpy(szTempBuffer, szFileName);
*strrchr(szTempBuffer, '\\') = '\0';
sprintf(szCmdLine, "cmd.exe /C \"%s\\bat.bat\"", szTempBuffer);
CreateProcess(NULL, szCmdLine, 0, 0, FALSE, CREATE_UNICODE_ENVIRONMENT, NULL, 0, &si, &pi);
}
替换(szFileName, sizeof(szFileName), " - temp.dll", " - original.dll");
CopyFile(szFileName, szBuffer, FALSE);
LoadLibrary(szBuffer);
CreateThread(0, 0, ThreadMain, 0, 0, 0);
bLoad = TRUE;
}
}
return bLoad;
}
的确够另类的,只是不清楚游戏的核心DLL的导出函数及参数,不然直接写转发就省事了。只是指的是游戏,那按理说应该是无壳的咯? 直接在 ITA表里添加自己写的DLL不更省事嘛。 个人愚见{:17_1068:} 有必要这样吗。 直接写一个DLL把原来的DLL劫持掉就好了。 原来的DLL随便改个名字扔里面不管。。 有想法,有时间去试试看 和d3d9注入游戏差不多也个意思 呵呵...小白路過,完全看不懂半個字 不知道你在说什么JB。。。不过好像很腻害的样纸 {:1_921:}理解原理,看不懂代码 我在国外论坛见过一模一样的帖子,到底是谁模仿谁?{:1_925:} 一起学习下
页:
[1]
2