hszt 发表于 2019-7-6 21:33

x64注入dll源码 64位dll注入

本帖最后由 hszt 于 2019-8-23 09:06 编辑

STARTUPINFO si;
    PROCESS_INFORMATION pi;
    GetStartupInfo(&si);
    CreateProcess(TEXT("主程序.exe"), NULL, NULL, NULL, NULL, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
    LPVOID xx = VirtualAllocEx(pi.hProcess, NULL, 0x12, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    WriteProcessMemory(pi.hProcess, xx, TEXT("Patch.dll"), lstrlen(TEXT("Patch.dll")) + 1, NULL);
    PVOID ProcAddress = GetProcAddress(GetModuleHandle(TEXT("Kernel32.dll")), LPCSTR("LoadLibraryW"));
    CreateRemoteThread(pi.hProcess, NULL, 0x1000, (LPTHREAD_START_ROUTINE)ProcAddress, xx, NULL, NULL);
    ResumeThread(pi.hThread);


32位的注入器和代码很多,64位的不太好找,其实都差不多,编译的时候改成x64就可以

在论坛找了半天,好像没找到,找到一个是根据pid注入的,不方便
这个不带界面,适合做补丁的时候注入到64位程序里面
懒得编译的可以用x64dbg直接改编译后的文件   例子里面的 exe 是主程序.exe   要注入的dll名字是 Patch.dll

hszt 发表于 2019-10-18 09:42

qq3168590196 发表于 2019-10-18 05:15
我草什么年代还玩鲁号器mad放个鲁木马   你能盗走老子的号算你牛逼来盗我号 还玩鲁号器估计现在连服务器 ...

管理来鉴定下吧,这种无脑喷的,有无木马,论坛随便一个有点基础的人都看的出来,不懂不要装懂

苏紫方璇 发表于 2019-10-18 21:46

hszt 发表于 2019-10-18 09:42
管理来鉴定下吧,这种无脑喷的,有无木马,论坛随便一个有点基础的人都看的出来,不懂不要装懂

看了下,没发现存在木马

reetin 发表于 2019-7-6 21:50

被 注入了,杀毒软件 查不出来,有什么办法可以手工查出来吗?

yaoguen 发表于 2019-7-6 22:16

多谢分享!!!

yingwl 发表于 2019-7-7 11:49

谢谢分享

666888tzq 发表于 2019-7-7 13:02

感谢分享,拿走了。

tikyc 发表于 2019-7-8 20:21

可以看一下NetRipper,一个注入dll 劫持SSL的源码,支持chrome和firefox,里面有完整的注入代码

q321123456 发表于 2019-7-20 21:27

谢谢分享 谢谢分享

zzylyzs 发表于 2019-8-6 19:13

感谢分享,最近研究了32位的 64位死活不会

童梦網络商务 发表于 2019-8-23 03:02

拿走了,xiexie

daoke 发表于 2019-8-24 10:09

研究过类似的
页: [1] 2 3 4
查看完整版本: x64注入dll源码 64位dll注入