DLL另類劫持注入法

1. // Win32Project2.cpp : 定义 DLL 应用程序的导出函数。
   
2. //爲什麼論壇沒有代碼高亮插件
   
3. //下一篇發佈LOL人物基址特徵碼
   
4. //求給力  求評分
   
5. //以及利用基址  實現各種功能
   
6. //
   
7. ///////////////////////////////////////////////////////////////////////////////////////////////////////
   
8. /*
   
9. 
   
10.                                    DLL名称劫持注入法
    
11. 
    
12. 当游戏运行加载一个重要的的DLL模块时,我们让他来加载我们需要注入的DLL和原来那个必须加载的游戏DLL模块。
    
13. 
    
14. 比如说一些游戏加载游戏本身DLL“client.dll”。
    
15. 游戏DLL“client.dll”重命名为“client- original.dll”。
    
16. 把我们需要注入的DLL重命名成“client.dll”，并把2个DLL放在一起。
    
17. 把下面源码的client.exe更换成你需要注入的游戏的进程名。
    
18. 
    
19. 原理：
    
20. 游戏运行时先加载我们伪造的DLL“client.dll”，但由于关键函数还在原来的client.dll中。
    
21. 所以先将自身复制为临时文件“client - temp.dll”
    
22. 加载后然后卸载本身。替换原来的“client.dll”并加载。
    
23. 然后，它运行一个bat脚本，将等待游戏退出，一旦游戏退出。
    
24. bat脚本将复制临时文件“client - temp.dll”到“client.dll”，
    
25. 这样它就会在下次游戏启动时继续加载。
    
26. 
    
27. 
    
28. */
    
29. #include "stdafx.h"
    
30. #include "fstream"
    
31. using namespace std;
    
32. 
    
33. 
    
34. void 替换(char* szBuffer, size_t bufferSize, char* from, char* to)
    
35. {
    
36.         char* szpTemp,
    
37.                 *szpTempBuffer,
    
38.                 *szpCurrentBuffer;
    
39. 
    
40. 
    
41.         szpCurrentBuffer = szBuffer;
    
42.         szpTempBuffer = new char[bufferSize];
    
43. 
    
44.         while (true)
    
45.         {
    
46.                 szpTemp = strstr(szpCurrentBuffer, from);
    
47. 
    
48.                 if (szpTemp != NULL)
    
49.                 {
    
50.                         if (strlen(szBuffer) - strlen(from) + strlen(to) < bufferSize)
    
51.                         {
    
52.                                 strcpy(szpTempBuffer, szpTemp + strlen(from));
    
53. 
    
54.                                 *szpTemp = '\0';
    
55.                                 strcat(szpTemp, to);
    
56.                                 szpCurrentBuffer = szpTemp + strlen(to);
    
57.                                 strcat(szpTemp, szpTempBuffer);
    
58.                         }
    
59.                         else
    
60.                                 break;
    
61.                 }
    
62.                 else
    
63.                         break;
    
64.         }
    
65. 
    
66.         delete[] szpTempBuffer;
    
67. }
    
68. 
    
69. DWORD WINAPI ThreadMain(LPVOID lpvParam)
    
70. {
    
71.         MessageBox(0, "劫持注入成功", "hello", 0);
    
72. 
    
73.         return 0;
    
74. }
    
75. 
    
76. BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, LPVOID lpvReserved)
    
77. {
    
78.         BYTE* pCave;
    
79. 
    
80.         ifstream in;
    
81. 
    
82.         ofstream out;
    
83. 
    
84.         BOOL bLoad;
    
85. 
    
86.         FARPROC targetFunction;
    
87. 
    
88.         HMODULE hTargetModule;
    
89. 
    
90.         char* szpName;
    
91. 
    
92.         char szFileName[MAX_PATH],
    
93.                 szBuffer[MAX_PATH],
    
94.                 szTempBuffer[MAX_PATH];
    
95. 
    
96.         char* szpTargetModule;
    
97. 
    
98.         STARTUPINFO si = { sizeof(STARTUPINFO) };
    
99. 
    
100.         PROCESS_INFORMATION pi;
     
101. 
     
102.         char szCmdLine[MAX_PATH];
     
103. 
     
104. 
     
105.         bLoad = FALSE;
     
106. 
     
107. 
     
108.         if (dwReason == DLL_PROCESS_ATTACH)
     
109.         {
     
110.                 GetModuleFileName(hModule, szFileName, sizeof(szFileName));
     
111.                 strcpy(szBuffer, szFileName);
     
112. 
     
113.                 // 判断自身是否为临时文件,如果不是临时文件将创建并加载
     
114.                 if (strstr(szFileName, " - temp.dll") == NULL)
     
115.                 {
     
116.                         替换(szBuffer, sizeof(szBuffer), ".dll", " - temp.dll");
     
117. 
     
118.                         if (CopyFile(szFileName, szBuffer, FALSE) != NULL)
     
119.                         {
     
120.                                 szpTargetModule = (char*)VirtualAlloc(NULL, 1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
     
121. 
     
122.                                 strcpy(szpTargetModule, szBuffer);
     
123. 
     
124.                                 hTargetModule = GetModuleHandle("Kernel32.dll");
     
125.                                 targetFunction = GetProcAddress(hTargetModule, "LoadLibraryA");
     
126. 
     
127.                                 pCave = (BYTE*)VirtualAlloc(NULL, 0x10, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
     
128.                                 *pCave++ = 0x68;
     
129.                                 *(DWORD*)pCave = (DWORD)szpTargetModule;
     
130.                                 pCave += 4;
     
131.                                 *pCave++ = 0xe8;
     
132.                                 *(DWORD*)pCave = (DWORD)((DWORD)targetFunction - (DWORD)pCave - 4);
     
133.                                 pCave += 4;
     
134.                                 *pCave++ = 0xc2;
     
135.                                 *pCave++ = 0x04;
     
136.                                 *pCave++ = 0x00;
     
137.                                 pCave -= 13;
     
138. 
     
139.                                 CreateThread(0, 0, (LPTHREAD_START_ROUTINE)pCave, 0, 0, 0);
     
140.                         }
     
141.                 }
     
142.                 else
     
143.                 {
     
144.                         // 如果是临时的DLL
     
145.                         替换(szBuffer, sizeof(szBuffer), " - temp.dll", ".dll");
     
146. 
     
147.                         // 等待遊戲主進程是否佔用此DLL  等待寫入權限
     
148.                         do
     
149.                         {
     
150.                                 in.open(szBuffer, ios::out);
     
151. 
     
152.                                 if (in.is_open() == true)
     
153.                                 {
     
154.                                         in.close();
     
155.                                         break;
     
156.                                 }
     
157. 
     
158.                                 Sleep(1000);
     
159.                         } while (true);
     
160. 
     
161. 
     
162. 
     
163.                         // 写一个bat脚本,一旦游戏退出,恢复自身文件名,下次可以继续加载
     
164.                         ////  把下面的client.exe改成你需要注入的游戏进程名
     
165.                         out.open("bat.bat", ios::out);
     
166. 
     
167.                         if (out.is_open() == true)
     
168.                         {
     
169.                                 out << ":WAITLOOP" << endl;
     
170.                                 out << "tasklist /FI "IMAGENAME eq Client.exe" 2>NUL | find /I /N "Client.exe">NUL" << endl;
     
171.                                 out << "if "%ERRORLEVEL%"=="0" goto RUNNING" << endl;
     
172.                                 out << "goto NOTRUNNING" << endl;
     
173. 
     
174.                                 out << ":RUNNING" << endl;
     
175.                                 out << "timeout /t 2" << endl;
     
176.                                 out << "goto WAITLOOP" << endl;
     
177. 
     
178.                                 out << ":NOTRUNNING" << endl;
     
179.                                 out << "copy "" << szFileName << "" "" << szBuffer << """ << endl;
     
180.                                 out.close();
     
181. 
     
182.                                 strcpy(szTempBuffer, szFileName);
     
183.                                 *strrchr(szTempBuffer, '\\') = '\0';
     
184. 
     
185.                                 sprintf(szCmdLine, "cmd.exe /C "%s\\bat.bat"", szTempBuffer);
     
186. 
     
187.                                 CreateProcess(NULL, szCmdLine, 0, 0, FALSE, CREATE_UNICODE_ENVIRONMENT, NULL, 0, &si, &pi);
     
188.                         }
     
189. 
     
190.                         替换(szFileName, sizeof(szFileName), " - temp.dll", " - original.dll");
     
191.                         CopyFile(szFileName, szBuffer, FALSE);
     
192. 
     
193.                         LoadLibrary(szBuffer);
     
194. 
     
195.                         CreateThread(0, 0, ThreadMain, 0, 0, 0);
     
196.                         bLoad = TRUE;
     
197.                 }
     
198.         }
     
199. 
     
200.         return bLoad;
     
201. }

复制代码

么么哒  我居然是沙发~~

yAxI丶9y 发表于 2015-1-10 21:05
么么哒  我居然是沙发~~

你跟楼主是什么关系,我C

我在你博客里看到了传说中的LOL基址了

为什么没有E源码

为什么没有E源码 我喜欢E  (┬＿┬)

要是易语言的源码就更容易看懂了

心有予悸 发表于 2015-1-10 21:09
你跟楼主是什么关系,我C

不能说的秘密- -

感谢楼主无私奉献

真心看不懂 感谢分享！