功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分)

原理:
挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,
但是和平时说的远程代码注入在注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的。
*/

/* 思路
修改EID实现代码注入的汇编思路如下
SuspendThread();
get eip
push ad
push fd
push AddressDllFilePath
call LoadLibrary
pop fd
pop ad
jmp eip //这个是为了让程序执行完我们的代码之后自己跳转回去继续执行
ResumeThread();
*/

/*
注意两个问题
1.call 如果直接是个地址的话要这么计算
call RVA - call指令的下一条地址 RVA - (nowaddress + 5) //+5是因为 call dword 是长度5 1+4
2.jmp 直接跳转地址也是同理
jmp RVA - jmp指令的销一条地址 RVA - (nowaddress + 5) //+5是因为 jmp dword 长度是5 1+4
Tip
还有就是要知道,Kernel32.LoadLibraryW的地址不同进程是一样的,这样就可以直接得到相关RVA
*/

附上代码:

  #include "stdafx.h"
    #include <string>
    #include <windows.h>
    #include "AnalyzeAndRun.h"
    using namespace std;  

    WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll";              //被注入dll的路径(32位)
    VOID Test(){
        HWND hWnd=::FindWindow(NULL,L"AAA");                      //注入的线程对应窗体的title AAA,
                                                                  //主要就是为了获得tid 和 pid 这个地方可以对应修改,通过别的姿势获取。
        if(hWnd==NULL){
            MessageBox(NULL ,L"未获取窗口句柄!",L"失败",MB_OK);
            return;
        }
        DWORD pid,tid;
        tid=GetWindowThreadProcessId(hWnd,&pid);
        ){
            MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);
            return;
        }
        ){
            MessageBox(NULL ,L"未获取进程ID",L"失败" ,MB_OK);
            return;
        }
        HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);
        ){
            MessageBox(NULL ,L"未获取进程句柄",L"失败" ,MB_OK);
            return;
        }
        HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);
        ){
            MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);
            return;
        }
        SuspendThread(hThread);                         //挂起线程                       

        CONTEXT ct={};
        ct.ContextFlags = CONTEXT_CONTROL;
        GetThreadContext(hThread,&ct);                 //获取,保存线程寄存器相关  

        DWORD dwSize = ;             //0-0x100 写代码 之后写数据
        BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
        DWORD dwWrited = ;
        ::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath,   //先把路径(数据)写到内存里,从0x100开始
            (wcslen(pDllPath) + ) * sizeof(WCHAR), &dwWrited);  

        FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");
        BYTE ShellCode[] = {  };
        DWORD *pdwAddr = NULL;  

        ShellCode[] = 0x60; // pushad
        ShellCode[] = 0x9c; // pushfd
        ShellCode[] = 0x68; // push
        pdwAddr = (DWORD *)&ShellCode[]; // ShellCode[3/4/5/6]
        *pdwAddr = (DWORD)(pProcessMem + 0x100);
        ShellCode[] = 0xe8;//call
        pdwAddr = (DWORD *)&ShellCode[]; // ShellCode[8/9/10/11]
        *pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + ) +  );  // 因为直接call地址了,所以对应机器码需要转换,计算VA
        ShellCode[] = 0x9d; // popfd
        ShellCode[] = 0x61; // popad
        ShellCode[] = 0xe9; // jmp  

        pdwAddr = (DWORD *)&ShellCode[]; // ShellCode[15/16/17/18]
        *pdwAddr = ct.Eip - ((DWORD)(pProcessMem + ) + );  //因为直接jmp地址了,所以对应机器码需要转换,计算VA
        ::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);
        ct.Eip = (DWORD)pProcessMem;
        ::SetThreadContext(hThread, &ct);  

        ::ResumeThread(hThread);
        ::CloseHandle(hProcess);
        ::CloseHandle(hThread);  

    }
    int _tmain(int argc, _TCHAR* argv[]){
        Test();
        ;
    }

通过修改EIP寄存器实现远程注入的更多相关文章

  1. 通过修改EIP寄存器实现32位程序的DLL注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入 <如果是64位 记得自己对应修改汇编代码部分> 原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器 ...

  2. 通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里

    /* 描述 功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分) 原理: 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器 ...

  3. 常见注入手法第一讲EIP寄存器注入

    常见注入手法第一讲EIP寄存器注入 博客园IBinary原创  博客连接:http://www.cnblogs.com/iBinary/ 转载请注明出处,谢谢 鉴于注入手法太多,所以这里自己整理一下, ...

  4. WinAPI【远程注入】三种注入方案【转】

    来源:http://www.cnblogs.com/okwary/archive/2008/12/20/1358788.html 导言: 我 们在Code project(www.codeprojec ...

  5. 将DLL挂接到远程进程之中(远程注入)

    线程的远程注入 要实现线程的远程注入必须使用Windows提供的CreateRemoteThread函数来创建一个远程线程该函数的原型如下:HANDLE CreateRemoteThread(    ...

  6. [转]远程注入DLL : 取得句柄的令牌 OpenProcessToken()

    http://hi.baidu.com/43755979/blog/item/3ac19711ea01bdc4a6ef3f6a.html 要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关 ...

  7. DLL远程注入实例

    一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了. 对 ...

  8. 汇编指令之JMP,CALL,RET(修改EIP的值!!!)

    简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ES ...

  9. HOOK -- DLL的远程注入技术详解(1)

    DLL的远程注入技术是目前Win32病毒广泛使用的一种技术.使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运 ...

随机推荐

  1. rails gem更换ruby-china源

    查看gem源 gem sources -l 换添加源 gem sources --add https://gems.ruby-china.com/ 删除原来的rubygems源 gem sources ...

  2. 将爬取的网页数据保存到数据库时报错不能提交JPA,Caused by: java.sql.SQLException: Incorrect string value: '\xF0\x9F\x98\xB6 \xE2...' for column 'content' at row 1

    错误原因:我们可以看到错误提示中的字符0xF0 0x9F 0x98 0x84 ,这对应UTF-8编码格式中的4字节编码(UTF-8编码规范).正常的汉字一般不会超过3个字节,为什么为出现4个字节呢?实 ...

  3. 2019.01.02 bzoj2467: [中山市选2010]生成树(矩阵树定理)

    传送门 矩阵树定理模板题. 题意简述:自己看题面吧太简单懒得写了 直接构建出这4n4n4n个点然后按照题面连边之后跑矩阵树即可. 代码: #include<bits/stdc++.h> # ...

  4. thinkphp生成的验证码提示因存在错误无法显示

    /** * 生成验证码 */ public function verify(){ ob_clean();//加上这段代码 $Verify = new Captcha(); $Verify->le ...

  5. IE 8 浏览器 F12 调试功能无法使用

      “按下F12之后,开发人员工具在桌面上看不到,但是任务栏里有显示.将鼠标放在任务栏的开发人员工具上,出现一片透明的区域,选中之后却出不来.将鼠标移动到开发人员工具的缩略图上,右键-最大化,工具就全 ...

  6. INtellJ IDEA 2017 创建Annotation注解类

    1.建立一个文件夹 java ------->new ---->Package--->输入名字 2.New ---->java class --->如图修改红圈位置的下拉 ...

  7. 查阅Springboot官方文档方式----------------Springboot2.0.2最新稳定版

    1.登录官方网址: https://spring.io/ 如图所示: 2.选择PROJECTS,就可以看到spring所有的相关项目了. 点开后:其中就包括了Spingboot 3.版本选择,红圈部分 ...

  8. pat树之专题(30分)

    (好好复习是王道) 1115. Counting Nodes in a BST (30) 分析:简单题——将bst树构造出来,然后给每个节点打上高度.最后求出树的高度.然后count树高的节点数加上树 ...

  9. [小结]了解innodb锁

    原创文章,会不定时更新,转发请标明出处:http://www.cnblogs.com/janehoo/p/5603983.html 背景介绍: innodb的锁分两类:lock和latch. 其中la ...

  10. session(会话)研究(一)基础

    一.Session对象的生成 session对象生成的过程,可以通过一个直观图进行观察. 也就是说,客户第一次请求访问时,Cookie中是没有SessionID的.在第一次访问之后,由服务器生成一个S ...