/* 描述 功能：通過修改EIP寄存器實現32位程序的DLL注入（如果是64位，記得自己對應修改匯編代碼部分） 原理：掛起目標進程，停止目標進程EIP的變換，在目標進程開啟空間，然后把相關的指令機器碼和數據拷貝到里面去，然后修改目標進程EIP使其強行跳轉到我們拷貝進去的相關機器碼位置，執行相關，然后跳轉回來。下面的例子是實現DLL注入， 但是和平時說的遠程代碼注入在注入的邏輯上不同，但是同時都是用到了一個重要的結論就是：很多系統dll的導出函數地址在不同進程中，是一樣的。 作者：zijian song 時間：2016.10.21 *//* 思路 修改EID實現代碼注入的匯編思路如下 SuspendThread(); get eip push ad push fd push AddressDllFilePath call LoadLibrary pop fd pop ad jmp eip //這個是為了讓程序執行完我們的代碼之后自己跳轉回去繼續執行 ResumeThread(); *//* 注意兩個問題 1.call 如果直接是個地址的話要這么計算 call RVA - call指令的下一條地址 RVA - (nowaddress + 5) //+5是因為 call dword 是長度5 1+4 2.jmp 直接跳轉地址也是同理 jmp RVA - jmp指令的銷一條地址 RVA - (nowaddress + 5) //+5是因為 jmp dword 長度是5 1+4 Tip 還有就是要知道，Kernel32.LoadLibraryW的地址不同進程是一樣的，這樣就可以直接得到相關RVA */#include "stdafx.h" #include <string> #include <windows.h> #include "AnalyzeAndRun.h" using namespace std;WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll"; //被注入dll的路徑（32位） VOID Test(){HWND hWnd=::FindWindow(NULL,L"AAA"); //注入的線程對應窗體的title AAA，//主要就是為了獲得tid 和 pid 這個地方可以對應修改，通過別的姿勢獲取。if(hWnd==NULL){MessageBox(NULL ,L"未獲取窗口句柄！",L"失敗",MB_OK);return;}DWORD pid,tid;tid=GetWindowThreadProcessId(hWnd,&pid);if(tid<=0){MessageBox(NULL ,L"未獲取線程ID",L"失敗" ,MB_OK);return;}if(pid<=0){MessageBox(NULL ,L"未獲取進程ID",L"失敗" ,MB_OK);return;}HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);if(hProcess <= 0){MessageBox(NULL ,L"未獲取進程句柄",L"失敗" ,MB_OK);return;}HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);if(hThread <= 0){MessageBox(NULL ,L"未獲取線程ID",L"失敗" ,MB_OK);return;}SuspendThread(hThread); //掛起線程 CONTEXT ct={0};ct.ContextFlags = CONTEXT_CONTROL;GetThreadContext(hThread,&ct); //獲取，保存線程寄存器相關DWORD dwSize = sizeof(WCHAR)*1024; //0-0x100 寫代碼 之后寫數據BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);DWORD dwWrited = 0;::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath, //先把路徑（數據）寫到內存里，從0x100開始(wcslen(pDllPath) + 1) * sizeof(WCHAR), &dwWrited);FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");BYTE ShellCode[32] = { 0 };DWORD *pdwAddr = NULL;ShellCode[0] = 0x60; // pushadShellCode[1] = 0x9c; // pushfdShellCode[2] = 0x68; // pushpdwAddr = (DWORD *)&ShellCode[3]; // ShellCode[3/4/5/6]*pdwAddr = (DWORD)(pProcessMem + 0x100);ShellCode[7] = 0xe8;//callpdwAddr = (DWORD *)&ShellCode[8]; // ShellCode[8/9/10/11]*pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + 7) + 5 ); // 因為直接call地址了，所以對應機器碼需要轉換，計算VAShellCode[12] = 0x9d; // popfdShellCode[13] = 0x61; // popadShellCode[14] = 0xe9; // jmppdwAddr = (DWORD *)&ShellCode[15]; // ShellCode[15/16/17/18]*pdwAddr = ct.Eip - ((DWORD)(pProcessMem + 14) + 5); //因為直接jmp地址了，所以對應機器碼需要轉換，計算VA::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);ct.Eip = (DWORD)pProcessMem;::SetThreadContext(hThread, &ct);::ResumeThread(hThread);::CloseHandle(hProcess);::CloseHandle(hThread);} int _tmain(int argc, _TCHAR* argv[]){ Test();return 0; }相關資源和測試程序：http://download.csdn.net/detail/u013761036/9660423

總結

以上是生活随笔為你收集整理的通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。