x64注入dll源码 64位dll注入
本帖最后由 hszt 于 2019-8-23 09:06 编辑STARTUPINFO si;
PROCESS_INFORMATION pi;
GetStartupInfo(&si);
CreateProcess(TEXT("主程序.exe"), NULL, NULL, NULL, NULL, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
LPVOID xx = VirtualAllocEx(pi.hProcess, NULL, 0x12, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(pi.hProcess, xx, TEXT("Patch.dll"), lstrlen(TEXT("Patch.dll")) + 1, NULL);
PVOID ProcAddress = GetProcAddress(GetModuleHandle(TEXT("Kernel32.dll")), LPCSTR("LoadLibraryW"));
CreateRemoteThread(pi.hProcess, NULL, 0x1000, (LPTHREAD_START_ROUTINE)ProcAddress, xx, NULL, NULL);
ResumeThread(pi.hThread);
32位的注入器和代码很多,64位的不太好找,其实都差不多,编译的时候改成x64就可以
在论坛找了半天,好像没找到,找到一个是根据pid注入的,不方便
这个不带界面,适合做补丁的时候注入到64位程序里面
懒得编译的可以用x64dbg直接改编译后的文件 例子里面的 exe 是主程序.exe 要注入的dll名字是 Patch.dll
qq3168590196 发表于 2019-10-18 05:15
我草什么年代还玩鲁号器mad放个鲁木马 你能盗走老子的号算你牛逼来盗我号 还玩鲁号器估计现在连服务器 ...
管理来鉴定下吧,这种无脑喷的,有无木马,论坛随便一个有点基础的人都看的出来,不懂不要装懂 hszt 发表于 2019-10-18 09:42
管理来鉴定下吧,这种无脑喷的,有无木马,论坛随便一个有点基础的人都看的出来,不懂不要装懂
看了下,没发现存在木马 被 注入了,杀毒软件 查不出来,有什么办法可以手工查出来吗? 多谢分享!!! 谢谢分享 感谢分享,拿走了。 可以看一下NetRipper,一个注入dll 劫持SSL的源码,支持chrome和firefox,里面有完整的注入代码 谢谢分享 谢谢分享 感谢分享,最近研究了32位的 64位死活不会 拿走了,xiexie 研究过类似的