前言

昨天完成了dll注入,今天就完成了代码注入,早知道这个,就应该早点这么做。

需要注意的问题

  • 64位程序只能注入64位目标程序,否则会告诉你访问错误(GetLastError() == 5)
  • 经过实际操作发现Release版本能正常注入,但是Debug版本不能(卡了好久,,,我太笨了)

DLL注入和代码注入区别

  • dll注入之后,dll就会一直在目标进程空间中,但是代码注入执行完成之后就消失了
  • 代码注入体积小,不占内存
  • 实际上我觉得可以再加一个,,,dll贼方便,,,不需要使劲考虑会不会变量地址错误的问题

代码

#include <windows.h>
#include <iostream>
#include <tlhelp32.h> using namespace std; // 用来传参的结构体
struct PARAM
{
FARPROC func[2]; // LoadLibraryA() GetProcAddress()
char cBuff[4][128]; // "User32.dll"、"MessageBox()"、"标题"、"内容"
}; // 定义三个函数指针(其实我理解来看就是制定了怎么格式化代码)
typedef HMODULE(*PLOADLIBRARYA)(LPCSTR);
typedef FARPROC(*PGETPROCADDRESS)(HMODULE,LPCSTR);
typedef int(*PMESSAGEBOXA)(int,LPCSTR,LPCSTR,int); // 这里应该和MessageBoxA函数的参数列表一样,但是我这样也可以 // 通过进程名获取pid
DWORD GetPidByName(LPCWSTR lpName)
{
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (!hSnap)
{
cout << "创建进程快照失败" << endl;
return 0;
}
PROCESSENTRY32 pe;
pe.dwSize = sizeof(PROCESSENTRY32);
Process32First(hSnap, &pe);
do
{
if (!_wcsicmp(lpName, pe.szExeFile))
{
return pe.th32ProcessID;
}
} while (Process32Next(hSnap, &pe));
return 0;
} // 即将注入到目标进程的细作 写的这么麻烦完全是因为代码注入不能使用自己程序的资源,
// 下面用到的变量资源完全在目标进程空间
DWORD WINAPI ThreadProc(LPVOID lParam)
{
PARAM* s = (PARAM*)lParam; // 强转参数
HMODULE hmMod = ((PLOADLIBRARYA)s->func[0])(s->cBuff[0]); // 实际上是LoadLibraryA()
FARPROC pFunc = ((PGETPROCADDRESS)s->func[1])(hmMod, s->cBuff[1]); // 实际上是GetProcAddress()
((PMESSAGEBOXA)pFunc)(NULL, s->cBuff[2], s->cBuff[3], 0); // 实际上是MessageBoxA
return 0;
} // 提权
int EnableDebugPrivilege()
{
HANDLE token;
TOKEN_PRIVILEGES tp;
// 打开进程令牌环
if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &token))
{
cout << "打开进程令牌失败" << endl;
return 0;
}
// 获取进程本地唯一ID
LUID luid;
if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
{
cout << "获取LUID失败" << endl;
return 0;
}
tp.PrivilegeCount = 1;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
tp.Privileges[0].Luid = luid;
// 调整进程权限
if (!AdjustTokenPrivileges(token, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
{
cout << "提权失败" << endl;
return 0;
}
return 1;
} int main()
{
cout << "ThreadProc地址: "<<ThreadProc << endl;
if (!EnableDebugPrivilege())
{
cout << "提权失败" << endl;
return 0;
}
DWORD dwTargetPid = GetPidByName(L"notepad.exe");
if (!dwTargetPid)
{
cout << "获取PID失败" << endl;
return 0;
}
cout << "PID: " << dwTargetPid << endl; // 打开进程
HANDLE hTarget = OpenProcess(PROCESS_ALL_ACCESS, false, dwTargetPid);
if (!hTarget)
{
cout << "打开进程失败" << GetLastError() << endl;
return 0;
} PARAM p;
p.func[0] = (FARPROC)LoadLibraryA; // 因为本进程已经加载了这个函数所在的模块 kernel32.dll 所以能直接得到地址
p.func[1] = (FARPROC)GetProcAddress;// 这两个在目标进程中地址也是这个,所以能直接用 // 填充参数
strcpy_s(p.cBuff[0],"User32.dll");
strcpy_s(p.cBuff[1],"MessageBoxA");
strcpy_s(p.cBuff[2],"我是细作二号,多多指教 By Startu");
strcpy_s(p.cBuff[3],"你好,"); void* pParam = nullptr;
pParam = VirtualAllocEx(hTarget, 0, sizeof(p), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
if (pParam == nullptr)
{
cout << "申请参数所需内存失败" << endl;
return 0;
} if (!WriteProcessMemory(hTarget, pParam, (LPCVOID)&p, sizeof(p), NULL))
{
cout << "写入参数失败" << endl;
return 0;
} void* pFunc = nullptr;
//DWORD dwFuncSize = (DWORD)ThreadProc - (DWORD)EnableDebugPrivilege;
DWORD dwFuncSize = 4096; // 写死函数大小,在Debug模式下,上面注释的代码会得到错误的结果
cout << "函数大小: "<<dwFuncSize << endl;
pFunc = VirtualAllocEx(hTarget,0, dwFuncSize,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);
if (pFunc == nullptr)
{
cout << "申请函数内存失败" << endl;
CloseHandle(hTarget);
return 0;
} if (!WriteProcessMemory(hTarget, pFunc, (LPCVOID)ThreadProc, dwFuncSize, NULL))
{
cout << "写入函数代码失败" << endl;
CloseHandle(hTarget);
return 0;
} cout << "函数地址: " << pFunc << endl;
DWORD dwThreadId = 0;
HANDLE hRemoteThread = CreateRemoteThread(hTarget, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, (LPVOID)pParam, 0, &dwThreadId);
if (!hRemoteThread)
{
cout << "创建进程失败" << endl;
CloseHandle(hTarget);
return 0;
}
WaitForSingleObject(hRemoteThread,INFINITE); // 等待注入线程结束
cout << "运行结束" << hRemoteThread << endl;
CloseHandle(hTarget);
return 0;
}
  • 运行之后,就能喜闻乐见的见到下面的结果了

通过x64dbg可以代码确实注入到notepad里面了 撒花★,°:.☆( ̄▽ ̄)/$:.°★

解决问题过程

前面解决这个问题想了好久(笨死,,)

后来师傅说可以试试windbg调试一下试试,但是windbg是真的很难操作。。。

后来想到了OD,不过OD不能调试64位程序,幸好在两年前了解到了x64dbg,这个是个好工具,我觉得完全可以接下OD的旗帜。

  • 这里 https://github.com/x64dbg/x64dbg/releases下载到x64dbg
  • 然后打开记事本,使用dbg附加进程,点击选项选项然后选择在线程入口下暂停
    • OD设置位置也是这里
  • 多点几次运行按钮,让notepad自己的线程先跑起来
  • 然后打开代码开始注入,成功之后dbg会暂停的,一般来说就能看到下图中代码,也即是注入进去的线程函数
  • F8步过,看到传参那部分没有问题,然后再call的时候(MessageBox函数),报错了,下面提示说不合法的访问(EXCEPTION_ACCESS_VIOLATION),突然想起来,应该是这里的指针指向了不合法的地址。

  • 检查代码之后,确认参数地址都没问题,但是我直接在线程函数中调用了MessageBoxA(),这个应该就是问题的关键,一直没想到的原因,就是因为别的博文中说,“线程函数中,不可以使用Kernel32.dll和user32.dll之外的函数”,,,我理解成了,MessageBoxA是User32.dll里面的函数,所以应该可以直接使用。

  • 那么接下来就改造一下代码,把函数也给写入进去,在线程中载入模块。也就变成了上面的成品代码。

  • 但是依旧不行,还是会闪退,,,再通过dbg看了发现错误不一样了,他是这样的了

  • 似乎没有看到具体代码,全是jmp,然后通过vs的汇编窗口,我看到这了

  • 这里是所有的函数,似乎是一个目录,我通过代码中的方式获取到的地址实际上只是个jmp,注入的只是这个jmp,然后线程中,jmp了不合法的地址,就错了。

  • 最终调成Release模式之后,就能成功运行了。这么看来 Release模式下,似乎是没有这个目录的。但是这个目录是什么还是不太清楚,了解的伙伴麻烦留个言。

参考

参考:https://www.cnblogs.com/2f28/p/9974552.html

谢谢~~

[C++] 代码注入非dll版的更多相关文章

  1. dll注入与代码注入

    学习<逆向工程核心原理>,在x64下dll注入与代码注入. dll注入主要用到CreateRemoteThread, HANDLE WINAPI CreateRemoteThread( _ ...

  2. 二叉树遍历(非递归版)——python

    二叉树的遍历分为广度优先遍历和深度优先遍历 广度优先遍历(breadth first traversal):又称层次遍历,从树的根节点(root)开始,从上到下从从左到右遍历整个树的节点. 深度优先遍 ...

  3. 代码注入——c++代码注入

    代码注入之——c++代码注入 0x00  代码注入和DLL注入的区别 DLL注入后DLL会通过线程常驻在某个process中,而代码注入完成之后立即消失. 代码注入体积小,不占内存 0x01  通过c ...

  4. VB.NET实现32位、64位远线程运行ASM,注入非托管、托管DLL

    这是一个老话题,远线程函数给我们提供了机会在其他进程中启动一个新线程,所以我们可以做很多事情.但事情远远没有结束,如果我们要做的事情非常复杂,那么将面临编写大量的ASM代码,虽然我们可以用VC之类的工 ...

  5. 转:EasyHook远程代码注入

    EasyHook远程代码注入 最近一段时间由于使用MinHook的API挂钩不稳定,经常因为挂钩地址错误而导致宿主进程崩溃.听同事介绍了一款智能强大的挂钩引擎EasyHook.它比微软的detours ...

  6. 32位汇编第三讲,RadAsm,IDE的配置和使用,以及汇编代码注入方式

    32位汇编第三讲,RadAsm,IDE的配置和使用,以及汇编代码注入方式 一丶RadAsm的配置和使用 用了怎么长时间的命令行方式,我们发现了几个问题 1.没有代码提醒功能 2.编写代码很慢,记不住各 ...

  7. 详解C#泛型(二) 获取C#中方法的执行时间及其代码注入 详解C#泛型(一) 详解C#委托和事件(二) 详解C#特性和反射(四) 记一次.net core调用SOAP接口遇到的问题 C# WebRequest.Create 锚点“#”字符问题 根据内容来产生一个二维码

    详解C#泛型(二)   一.自定义泛型方法(Generic Method),将类型参数用作参数列表或返回值的类型: void MyFunc<T>() //声明具有一个类型参数的泛型方法 { ...

  8. 注入攻击-SQL注入和代码注入

    注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险.实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功.虽然这是最明显的组合关系,但是注入攻击带来的不仅 ...

  9. 购物车非cookie版

    2015.11.26购物车,非cookie版 [点击来,你发现被骗了(笑哭,笑哭,笑哭,源代码的话,留下邮箱吧,是在不好找这一时半会儿的.)] Jsp通过反射机制获取bean中的标签,但其实,可以没有 ...

  10. Windows下的代码注入

    木马和病毒的好坏很大程度上取决于它的隐蔽性,木马和病毒本质上也是在执行程序代码,如果采用独立进程的方式需要考虑隐藏进程否则很容易被发现,在编写这类程序的时候可以考虑将代码注入到其他进程中,借用其他进程 ...

随机推荐

  1. golang实现的 https 协议的四层代理和七层代理

    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢! cnblogs博客 zhihu Github 公众号:一本正经的瞎扯 四层代理 在 tcp 这一层转发很简单. http 协议是 ...

  2. 【k哥爬虫普法】爬虫第一案,侵犯个人隐私,“入侵”短视频服务器!

    我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了"K哥爬虫普法"专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识, ...

  3. 深入探索OCR技术:前沿算法与工业级部署方案揭秘

    深入探索OCR技术:前沿算法与工业级部署方案揭秘 注:以上图片来自网络 1. OCR技术背景 1.1 OCR技术的应用场景 OCR是什么 OCR(Optical Character Recogniti ...

  4. Web 3.0 - 圈里的百科

    Web3.0只是由业内人员制造出来的概念词语,最常见的解释是,网站内的信息可以直接和其他网站相关信息进行交互,能通过第三方信息平台同时对多家网站的信息进行整合使用:用户在互联网上拥有自己的数据,并能在 ...

  5. Docker从认识到实践再到底层原理(六-2)|Docker容器操作实例

    前言 那么这里博主先安利一些干货满满的专栏了! 首先是博主的高质量博客的汇总,这个专栏里面的博客,都是博主最最用心写的一部分,干货满满,希望对大家有帮助. 高质量博客汇总 然后就是博主最近最花时间的一 ...

  6. (C语言)每日代码||2023.12.24||printf换行的三种方法

    #include <stdio.h> int main() { //printf()函数不同参数间可以换行 printf("num one : %d,num two : %d&q ...

  7. RabbitMQ初学

    RabbitMQ 消息队列在软件中的应用场景 异步处理上(优于原先的方式) 为什么优于呢? 首先,通常情况下,如上图我们其实不用消息队列的情况下,其实也可以不用100ms,不用allof即可 那么优势 ...

  8. .NET 云原生架构师训练营(RGCA 四步架构法)--学习笔记

    RGCA Requirement:从利益相关者获取需求 Goal:将需求转化为目标(功能意图) Concept:将目标扩展为完整概念 Architecture:将概念扩展为架构 目录 从利益相关者获取 ...

  9. MaxCompute(ODPS)和Hive的区别

    Hive概述 架构于Hadoop之上,可以将结构化的HDFS文件映射成一张表,并提供了类似于SQL语法的HQL查询功能. 核心本质:将HQL语句转换成MapReduce任务. Hive的优缺点 优点 ...

  10. react 新旧生命周期有什么区别?新增了哪些钩子?废弃了哪些钩子?为什么废弃?

    壹 ❀ 引 在日常面试中,若对于了解react的同学而言,多多少少会被问到生命周期相关的问题,比如大致阐述生命周期的运作流程,以及每个钩子函数大致的作用,而我在两位出去面试的同事那里了解到,他们都遇到 ...