 |
 |
 |
 |
 |
|
Sprachen und Entwicklungsumgebungen
Object-Pascal / Delphi-Language
DLL Injection von Memory in anderen Prozess
Antwort
|
|
|
|
Registriert seit: 24. Jul 2015 6 Beiträge |
#1
AW: DLL Injection von Memory in anderen Prozess
26. Jul 2015, 08:53
Hallo Zacherl und brechi!
Vielen Dank für euren Input. Leider bin ich nun etwas verwirrt, da sich eure Antworten dermaßen unterscheiden in Sachen Aufwand und Angehensweise. Die Vorgehensweise von dir Zacherl ist, wie du ja selbst schreibst "den Aufwand nicht wert", da ich mich wahrscheinlich einige Wochen mit dem Thema beschäftigen müsste um einen Einblick in die Thematik zu bekommen. Sollte ich jedoch wirklich nur  VirtualAlloc durch VirtualAllocEx austauschen müssen, wie von brechi beschrieben, werde ich dies wohl tun.Danke auch nochmal an brechi für den Link zur uallCollection. Jedoch möchte ich ja eine DLL in den Zielprozess befördern und keine Exe.Edit: Wäre diese Vorgehensweise bei VirtualAllocEx korrekt:
? Geändert von snapseep (26. Jul 2015 um 09:27 Uhr) |
Zitat
|
Registriert seit: 3. Sep 2004 4.629 Beiträge Delphi 10.2 Tokyo Starter |
#2
AW: DLL Injection von Memory in anderen Prozess
26. Jul 2015, 13:55
Sollte ich jedoch wirklich nur
VirtualAlloc durch VirtualAllocEx austauschen müssen, wie von brechi beschrieben, werde ich dies wohl tun.IAT auflösen und DllMain ausführen dann per CreateRemoteThread. |
|
Zitat
|
|
Registriert seit: 30. Jan 2004 823 Beiträge |
#3
AW: DLL Injection von Memory in anderen Prozess
26. Jul 2015, 21:38
|
|
Zitat
|
|
Registriert seit: 24. Jul 2015 6 Beiträge |
#4
AW: DLL Injection von Memory in anderen Prozess
27. Jul 2015, 06:44
Habe leider vergeblich den gestrigen Abend damit verbracht BTMemoryModule umzuschreiben mit VirtualAllocEx
und den von Zacherl genannten Änderungen (wpm, createremotethread,... ).
Die Herangehensweise die Exe zu injecten finde ich sehr interessant. Habe mir daszu mal den passenden Text aus der msdn Hilfe kopiert: The name of the module. This can be either a library module (a .dll file) or an executable module (an .exe file). .
Das hat auch soweit geklappt: Nur weiß ich jetzt noch nicht so recht, wie ich beispielsweise direkt Code beim injecten der Exe im Zielprozess ausführen kann. Sofern man eine Dll injected wird automatisch DllMain ausgeführt. Bei der Injection gehe ich folgendermaßen vor:
Delphi-Quellcode:
Gibt es eine Möglichkeit Code direkt beim Injecten der Exe auf diese Weise auszuführen?
function InjectExe(const pid: DWORD; exedir: PWideChar): Boolean;
var dwThreadID: Cardinal; hProc, hKernel: THandle; BytesToWrite, BytesWritten: SIZE_T; pRemoteBuffer, pLoadLibrary: Pointer; hThread: THandle; begin Result := True; hProc := OpenProcess(PROCESS_CREATE_THREAD or PROCESS_QUERY_INFORMATION or PROCESS_VM_OPERATION or PROCESS_VM_WRITE or PROCESS_VM_READ, False, pid); if hProc = 0 then Exit(False); try BytesToWrite := SizeOf(WideChar) * (Length(exedir) + 1); pRemoteBuffer := VirtualAllocEx(hProc, nil, BytesToWrite, MEM_COMMIT, PAGE_READWRITE); if pRemoteBuffer = nil then Exit(False); try if not WriteProcessMemory(hProc, pRemoteBuffer, exedir, BytesToWrite, BytesWritten) then Exit(False); hKernel := GetModuleHandleW('kernel32.dll'); pLoadLibrary := GetProcAddress(hKernel, 'LoadLibraryW'); hThread := CreateRemoteThread(hProc, nil, 0, pLoadLibrary, pRemoteBuffer, 0, dwThreadID); try WaitForSingleObject(hThread, INFINITE); finally CloseHandle(hThread); end; finally VirtualFreeEx(hProc, pRemoteBuffer, 0, MEM_RELEASE); end; finally CloseHandle(hProc); end; end; |
|
Zitat
|
|
Registriert seit: 3. Sep 2004 4.629 Beiträge Delphi 10.2 Tokyo Starter |
#5
AW: DLL Injection von Memory in anderen Prozess
27. Jul 2015, 10:49
Ja, du musst per CreateRemoteThread die DllMain ausführen. Das Offset dazu findest du in den ImageNtHeaders unter dem Namen EntryPoint. Prototyp ist folgender:
https://msdn.microsoft.com/en-us/lib...=vs.85%29.aspxBeim Laden nimmst du DLL_PROCESS_ATTACH als fdwReason und beim Entladen DLL_PROCESS_DETACH. Korrekterweise müsste man auch noch DLL_THREAD_ATTACH und DLL_THREAD_DETACH implementieren (ist zumindest bei manchen DLLs erforderlich, die manuell TLS benutzen), aber dazu benötigt man entweder Hooks in der DLL selbst oder eine zweite "normal" geladene DLL, mit der man die Events weiterleiten kann. Dürfte in den meisten Fällen allerdings nicht nötig sein, also probier es ruhig erstmal ohne. Brechis Code sollte ja irgendwo auch die WinMain (ebenfalls über das EntryPoint Feld referenziert) ausführen (welche allerdings einen anderen Prototypen hat!). Die Stelle änderst du so um, dass sie der DllMain mit passendem Parameter entspricht.
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
