在C#程序中注入恶意DLL的方法详解

第在C#程序中注入恶意DLL的方法详解目录一、背景二、实现原理1.基本思路2.案例演示3.自定义注入三：总结

一、背景

前段时间在训练营上课的时候就有朋友提到一个问题，为什么Windbg附加到C#程序后，程序就处于中断状态了？它到底是如何实现的？其实简而言之就是线程的远程注入，这一篇就展开说一下。

二、实现原理

1.基本思路

WinDbg在附加进程的时候，会注入一个线程到C#进程中，注入成功后，会执行一个DbgBreakPoint()函数，其实就是int3，这时候CPU就会执行3号中断函数，将当前进程的所有线程进行暂停，文字不好理解的话，画一个图大概就是这样。

口说无凭，接下来用上一个简单案例演示一下。

2.案例演示

首先写一个简单的C#程序，不断的输出时间和标号，代码如下：

internal

class

Program

{

static

void

Main(string[]

args)

{

for

(int

i

=

0;

i

10000;

i++)

{

Console.WriteLine($"{DateTime.Now},i={i}");

Thread.Sleep(1000);

}

}

}

把程序跑起来后，使用WinDbg附加，你可以发现Command自动切换到了8号线程，通过k命令可以看到最上面是一个int3中断，截图如下：

这里就有一个想法了，既然WinDbg可以注入，为何我的程序就注入不得呢？既然我的程序可以注入，那就可以做一些我想做的事情。

3.自定义注入

有了自定义注入的想法，接下来的实现步骤大概是这样的。

注入一个线程到C#程序中。让程序加载一个dll文件。在dll中做一些我想做的业务逻辑。

接下来新建一个C++的动态链接库，在DLLMain入口函数的DLL_PROCESS_ATTACH事件中写一个printf函数，如果在C#程序中输出来了，就算成功注入了，参考代码如下：

#include

Windows.h

#include

stdio.h

BOOL

APIENTRY

DllMain(HMODULE

hModule,

DWORD

ul_reason_for_call,

LPVOID

lpReserved

switch

(ul_reason_for_call)

case

DLL_PROCESS_ATTACH:

printf("

总部，总部，我已经成功打入内部！ul_reason_for_call=%d\n",

ul_reason_for_call);

break;

return

TRUE;

要被加载的MyInject.dll已经构建完毕，接下来就用Win32API的CreateRemoteThread()实现远程注入，但注入之前需要做三件事情。

获取C#程序的进程句柄。在C#进程中申请一块内存空间，存放加载的path路径。调用LoadLibraryW函数在C#进程中实现dll加载。

过程有了，新建一个C++控制台程序ConsoleApplication1.exe，整体的参考代码如下：

#include

iostream

#include

Windows.h

#include

stdio.h

#include

stdlib.h

#include

Tlhelp32.h

DWORD

GetPid(const

WCHAR*

szName)

HANDLE

hprocessSnap

=

NULL;

PROCESSENTRY32

pe32

=

{

0

};

hprocessSnap

=

CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,

0);

pe32.dwSize

=

sizeof(PROCESSENTRY32);

if

(Process32First(hprocessSnap,

pe32))

do

{

if

(!wcscmp(szName,

pe32.szExeFile))

{

return

(int)pe32.th32ProcessID;

}

while

(Process32Next(hprocessSnap,

pe32));

else

CloseHandle(hprocessSnap);

return

0;

int

main()

const

wchar_t*

path

=

L"D:\\net6\\ConsoleApp1\\x64\\Debug\\MyInject.dll";

//要注入的dll文件地址

//1.

获取进程ID

DWORD

procID

=

GetPid(L"ConsoleApp4.exe");

//2.

获取进程句柄

HANDLE

hProcess

=

OpenProcess(PROCESS_ALL_ACCESS,

FALSE,

procID);

//3.

在目标进程中开辟一块空间

LPVOID

pRemoteAdress

=

VirtualAllocEx(hProcess,

NULL,

wcslen(path)

*

2,

MEM_COMMIT,

PAGE_READWRITE);

//4.

将

path

写入到这块空间中

BOOL

bRet

=

WriteProcessMemory(hProcess,

pRemoteAdress,

path,

wcslen(path)

*

2,

NULL);

//5.

让目标线程调用

LoadLibraryW

加载我们注入的

dll

HMODULE

hModule

=

GetModuleHandle(L"kernel32.dll");

LPTHREAD_START_ROUTINE

dwLoadAddr

=

(LPTHREAD_START_ROUTINE)GetProcAddress(hModule,

"LoadLibraryW");

HANDLE

hThread

=

CreateRemoteThread(

hProcess,

NULL,

(LPTHREAD_START_ROUTINE)dwLoadAddr,

pRemoteAdress,

NULL,

NULL

//6.函数执行完后，释放这块空间。

WaitForSingleObject(hThread,

-1);

VirtualFreeEx(hProcess,

pRemoteAdress,

1,

MEM_DECOMMIT);

system("pause");

return

0;

}

万事具备，接下来我们将ConsoleApplication1.exe启动，可以成功观察到ConsoleApp4.exe上已经注入成功的输出，截图如下：

三：总结

这就是对Win