计算机网络安全技术（第7版）（微课版） 实验手册---Windows进程注入.pdf

Windows进程注入

进程注入是一种在独立的活动进程的地址空间中执行任意代码的方法，在另

一个进程的上下文中运行代码，会允许访问该进程的内存、系统资源、网络资源

以及可能的特权提升。

由于执行的代码由合法的程序代理执行，因此通过进程注入执行也可能会绕

过部分安全产品的防病毒检测或进程白名单检测。

进程注入是一种广泛使用的躲避检测的技术，通常用于恶意软件或者无文件

技术。其需要在另一个进程的地址空间内运行特制代码，进程注入改善了不可见

性，同时一些技术也实现了持久性。

大体上，进程注入可以分为两种形式：

DLL注入

Shellcode注入

这两种方式没有本质上的区别，在操作系统层面，dll也是shellcode汇编

代码。为了开发方便，白帽子常常会将代码以dll的形式编译并传播，在实际注

入的时候，由注入方或者被注入方调用loadlibrary加载。

下面我们来演示一个DLL注入的过程。

这里我们借助一个“InjectDLL”的工具，实现一个对于百度拼音输入法进

程的注入，在注入成功后会弹出对话框，内容是“DLL已进入目标进程。”

1、启动任务管理器

点击开始➡选择运行，如下图所示：

在弹出的对话框中，输入“taskmgr”，如下图所示：

打开任务管理器后，找到“baidupinyin.exe*32”进程，如下图示：

2、打开注入工具

打开“InjectDLL-V1.0”文件夹，打开其中的“ProcessInject”可执行文

件。如图：

工具界面如下：

3、开始注入

打开注入工具后，首先点击“选择进程”下拉框，在下拉框中找到

“baidupinyin.exe”进程并点击选择。

点击“选择DLL”按钮，在打开的窗口中，选择“Dll1”文件，点击“打开”按

钮。

在注入方式菜单下，选择“远程线程注入”，点击注入按钮。

如上图所示，注入成功。

4、注入结果查看

在这里我们使用一个新的工具来查看我们对“baidupinyin.exe*32”进程

注入的效果，工具名称“ProcessExplorer”。

打开“ProcessExplorer”文件夹，双击打开其中的“procexp64”。打开后的界

面如下图所示：

点击“View”，在下拉菜单中选择“LowerPaneView”，点击“DLLS”。

在图中窗口上部分找到“baidupinyin.exe”进程并单击，在窗口下部分就可以

看到我们注入的dll文件，如图中所示。

同学们，关于Windows进程注入攻击的相关知识我们今天就讲解到这里，请

大家在课后多做练习，谢谢大家。