吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 18736|回复: 18
收起左侧

[C&C++ 转载] DLL另類劫持注入法

  [复制链接]
cmc5410 发表于 2015-1-10 20:54
[C++] 纯文本查看 复制代码
// Win32Project2.cpp : 定义 DLL 应用程序的导出函数。
//
///////////////////////////////////////////////////////////////////////////////////////////////////////
/*

                                   DLL名称劫持注入法

当游戏运行加载一个重要的的DLL模块时,我们让他来加载我们需要注入的DLL和原来那个必须加载的游戏DLL模块。

比如说一些游戏加载游戏本身DLL“client.dll”。
游戏DLL“client.dll”重命名为“client- original.dll”。
把我们需要注入的DLL重命名成“client.dll”,并把2个DLL放在一起。
把下面源码的client.exe更换成你需要注入的游戏的进程名。

原理:
游戏运行时先加载我们伪造的DLL“client.dll”,但由于关键函数还在原来的client.dll中。
所以先将自身复制为临时文件“client - temp.dll”
加载后然后卸载本身。替换原来的“client.dll”并加载。
然后,它运行一个bat脚本,将等待游戏退出,一旦游戏退出。
bat脚本将复制临时文件“client - temp.dll”到“client.dll”,
这样它就会在下次游戏启动时继续加载。


*/
#include "stdafx.h"
#include "fstream"
using namespace std;


void 替换(char* szBuffer, size_t bufferSize, char* from, char* to)
{
        char* szpTemp,
                *szpTempBuffer,
                *szpCurrentBuffer;


        szpCurrentBuffer = szBuffer;
        szpTempBuffer = new char[bufferSize];

        while (true)
        {
                szpTemp = strstr(szpCurrentBuffer, from);

                if (szpTemp != NULL)
                {
                        if (strlen(szBuffer) - strlen(from) + strlen(to) < bufferSize)
                        {
                                strcpy(szpTempBuffer, szpTemp + strlen(from));

                                *szpTemp = '\0';
                                strcat(szpTemp, to);
                                szpCurrentBuffer = szpTemp + strlen(to);
                                strcat(szpTemp, szpTempBuffer);
                        }
                        else
                                break;
                }
                else
                        break;
        }

        delete[] szpTempBuffer;
}

DWORD WINAPI ThreadMain(LPVOID lpvParam)
{
        MessageBox(0, "劫持注入成功", "hello", 0);

        return 0;
}

BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, LPVOID lpvReserved)
{
        BYTE* pCave;

        ifstream in;

        ofstream out;

        BOOL bLoad;

        FARPROC targetFunction;

        HMODULE hTargetModule;

        char* szpName;

        char szFileName[MAX_PATH],
                szBuffer[MAX_PATH],
                szTempBuffer[MAX_PATH];

        char* szpTargetModule;

        STARTUPINFO si = { sizeof(STARTUPINFO) };

        PROCESS_INFORMATION pi;

        char szCmdLine[MAX_PATH];


        bLoad = FALSE;


        if (dwReason == DLL_PROCESS_ATTACH)
        {
                GetModuleFileName(hModule, szFileName, sizeof(szFileName));
                strcpy(szBuffer, szFileName);

                // 判断自身是否为临时文件,如果不是临时文件将创建并加载
                if (strstr(szFileName, " - temp.dll") == NULL)
                {
                        替换(szBuffer, sizeof(szBuffer), ".dll", " - temp.dll");

                        if (CopyFile(szFileName, szBuffer, FALSE) != NULL)
                        {
                                szpTargetModule = (char*)VirtualAlloc(NULL, 1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

                                strcpy(szpTargetModule, szBuffer);

                                hTargetModule = GetModuleHandle("Kernel32.dll");
                                targetFunction = GetProcAddress(hTargetModule, "LoadLibraryA");

                                pCave = (BYTE*)VirtualAlloc(NULL, 0x10, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
                                *pCave++ = 0x68;
                                *(DWORD*)pCave = (DWORD)szpTargetModule;
                                pCave += 4;
                                *pCave++ = 0xe8;
                                *(DWORD*)pCave = (DWORD)((DWORD)targetFunction - (DWORD)pCave - 4);
                                pCave += 4;
                                *pCave++ = 0xc2;
                                *pCave++ = 0x04;
                                *pCave++ = 0x00;
                                pCave -= 13;

                                CreateThread(0, 0, (LPTHREAD_START_ROUTINE)pCave, 0, 0, 0);
                        }
                }
                else
                {
                        // 如果是临时的DLL
                        替换(szBuffer, sizeof(szBuffer), " - temp.dll", ".dll");

                        // 等待遊戲主進程是否佔用此DLL  等待寫入權限
                        do
                        {
                                in.open(szBuffer, ios::out);

                                if (in.is_open() == true)
                                {
                                        in.close();
                                        break;
                                }

                                Sleep(1000);
                        } while (true);



                        // 写一个bat脚本,一旦游戏退出,恢复自身文件名,下次可以继续加载
                        ////  把下面的client.exe改成你需要注入的游戏进程名
                        out.open("bat.bat", ios::out);

                        if (out.is_open() == true)
                        {
                                out << ":WAITLOOP" << endl;
                                out << "tasklist /FI \"IMAGENAME eq Client.exe\" 2>NUL | find /I /N \"Client.exe\">NUL" << endl;
                                out << "if \"%ERRORLEVEL%\"==\"0\" goto RUNNING" << endl;
                                out << "goto NOTRUNNING" << endl;

                                out << ":RUNNING" << endl;
                                out << "timeout /t 2" << endl;
                                out << "goto WAITLOOP" << endl;

                                out << ":NOTRUNNING" << endl;
                                out << "copy \"" << szFileName << "\" \"" << szBuffer << "\"" << endl;
                                out.close();

                                strcpy(szTempBuffer, szFileName);
                                *strrchr(szTempBuffer, '\\') = '\0';

                                sprintf(szCmdLine, "cmd.exe /C \"%s\\bat.bat\"", szTempBuffer);

                                CreateProcess(NULL, szCmdLine, 0, 0, FALSE, CREATE_UNICODE_ENVIRONMENT, NULL, 0, &si, &pi);
                        }

                        替换(szFileName, sizeof(szFileName), " - temp.dll", " - original.dll");
                        CopyFile(szFileName, szBuffer, FALSE);

                        LoadLibrary(szBuffer);

                        CreateThread(0, 0, ThreadMain, 0, 0, 0);
                        bLoad = TRUE;
                }
        }

        return bLoad;
}

免费评分

参与人数 2热心值 +2 收起 理由
开心happy + 1 感谢您的宝贵建议,我们会努力争取做得更好.
maylin9898 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

NewType 发表于 2015-1-27 04:14
的确够另类的,只是不清楚游戏的核心DLL的导出函数及参数,不然直接写转发就省事了。只是指的是游戏,那按理说应该是无壳的咯? 直接在 ITA表里添加自己写的DLL不更省事嘛。 个人愚见
头像被屏蔽
xiaowenyu520 发表于 2015-1-10 21:00
qq8533549 发表于 2015-1-13 11:43
有必要这样吗。 直接写一个DLL把原来的DLL劫持掉就好了。 原来的DLL随便改个名字扔里面不管。。
2314902431 发表于 2015-1-10 21:03
有想法,有时间去试试看
xh5510 发表于 2015-1-10 21:07
和d3d9注入游戏差不多也个意思
maylin9898 发表于 2015-1-10 21:27
呵呵...小白路過,完全看不懂半個字
asdkktt 发表于 2015-1-10 22:07
不知道你在说什么JB。。。不过好像很腻害的样纸
月光灬指引 发表于 2015-1-11 17:56
理解原理,看不懂代码
今宵无眠 发表于 2015-1-12 04:53
我在国外论坛见过一模一样的帖子,到底是谁模仿谁?
Haijun 发表于 2015-1-14 11:31
一起学习下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-27 09:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表