BlackBoneツールコレクション:インジェクション、フック、ドライバー
Blackbone Tool Collection
FF_BlackBoneの紹介
Windows開発者は、プロセスの列挙、モジュールの列挙、プロセスメモリの読み取りと書き込みの操作に遭遇することがよくあります。Windowsセキュリティ開発者は、PEファイルの挿入、フック、操作、およびドライバーの書き込みにさらに関与しています。ホイールを作るためにさまざまな素材を裏返す必要があるたびに、この問題を解決するための優れたオープンソースライブラリはありますか?私が知っているのはBlackboneだけで、そのコードはよく書かれていて、教科書として使用できます。
PS:github上の作者DarthTonのアバターは非常に興味深いので、私はそれを貼り付けました。
著者アバター
用語集
MSDIA:デバッグインターフェイスアクセス、公式Webサイトリンク
DEP:データ実行防止の英語の略語。フルネームはデータ実行防止です。データ実行防止(DEP)は、メモリに対して追加のチェックを実行して、システム上で悪意のあるコードが実行されるのを防ぐことができるハードウェアおよびソフトウェアテクノロジのセットです。
前書き
github URL The latest version only supports VS2019. If you want to use VS2017, you need to choose the branch: Branch_bd30dd1 (2019/3/6 8:28:08) Library content (refer to README.md on github homepage for details) Xenos (Blackbone-based open source Windows dll injection tool) ライブラリには
Process interaction Operate PEB32/PEB64 Process management through WOW64 barrier Process Memory Allocate and release virtual memory Change memory protection properties Read and write virtual memory Process modules Enumerate all modules loaded by the process (32/64 bit) Get export function address Get the main module Remove module information from the module list Inject and uninstall modules (support pure IL images) Inject 64-bit modules in the WOW64 process Operation PE Threads Enumerate thread Create and close threads Get thread exit code Get the main thread Manage TEB32/TEB64 join thread (waiting for thread to exit) Pause and resume threads Set and clear hardware breakpoints Pattern search Signature matching (support this process and other processes) Remote code execution Execute function in remote process Assemble your own code and execute it remotely (shellcode injection) Support various calling methods: cdecl/stdcall/thiscall/fastcall Support various parameter types Support FPU Support for executing shellcode in a new thread or an existing thread Remote hooking Through soft and hard breakpoints, hook functions in the remote process Hook functions upon return (Hook functions through return) Manual map features Hidden injection, supports x86 and x64, injects any unprotected process, supports import tables and delayed import and other features, not to list them all. Driver features Allocate, release, and protect memory Read and write user layer and driver layer memory For WOW64 processes, disable DEP Modify process protection flag Modify handle access permissions Operating process memory (eg: map the target process to this process, etc.) Hide allocated user mode memory User mode dll injection manual mapping (manually load modules) Load the driver manually コンパイルの問題の要約
The sdk and wdk versions must be the same 10.0.17763.0. The cor.h file and the related mscoree.lib library cannot be found to compile errors, and the C# module needs to be installed. fatal error LNK1104: Cannot open file 'msvcprtd.lib' install Spectre component fatal error LNK1104: Unable to open file 'atls.lib' install ATL with Spectre vs2017-xp support: https://docs.microsoft.com/en-us/cpp/build/configuring-programs-for-windows-xp?view=vs-2019 The minimum requirement for 'auto' in non-type template parameters is '/std:c++17' set c++17 or c in 'Project -> Properties -> C/C++ -> Language -> C++ Language Standard' ++latest will do コンパイルオプションを以下に示します。
BlackBone開発環境の設定
C ++ 17コンパイルエラー修正(このエラーは、BlackBoneを独自のプロジェクトに統合するときに発生します):
広く宣伝する
九份プロデュース、文句を歓迎します。さらにエキサイティングなことに、ブログアドレスにアクセスできます。