通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
生活随笔
收集整理的這篇文章主要介紹了
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
/* 描述
功能:通過修改EIP寄存器實現32位程序的DLL注入(如果是64位,記得自己對應修改匯編代碼部分)
原理:掛起目標進程,停止目標進程EIP的變換,在目標進程開啟空間,然后把相關的指令機器碼和數據拷貝到里面去,然后修改目標進程EIP使其強行跳轉到我們拷貝進去的相關機器碼位置,執行相關,然后跳轉回來。下面的例子是實現DLL注入,
但是和平時說的遠程代碼注入在注入的邏輯上不同,但是同時都是用到了一個重要的結論就是:很多系統dll的導出函數地址在不同進程中,是一樣的。
作者:zijian song
時間:2016.10.21
*//* 思路
修改EID實現代碼注入的匯編思路如下
SuspendThread();
get eip
push ad
push fd
push AddressDllFilePath
call LoadLibrary
pop fd
pop ad
jmp eip //這個是為了讓程序執行完我們的代碼之后自己跳轉回去繼續執行
ResumeThread();
*//*
注意兩個問題
1.call 如果直接是個地址的話要這么計算
call RVA - call指令的下一條地址 RVA - (nowaddress + 5) //+5是因為 call dword 是長度5 1+4
2.jmp 直接跳轉地址也是同理
jmp RVA - jmp指令的銷一條地址 RVA - (nowaddress + 5) //+5是因為 jmp dword 長度是5 1+4
Tip
還有就是要知道,Kernel32.LoadLibraryW的地址不同進程是一樣的,這樣就可以直接得到相關RVA
*/#include "stdafx.h"
#include <string>
#include <windows.h>
#include "AnalyzeAndRun.h"
using namespace std;WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll"; //被注入dll的路徑(32位)
VOID Test(){HWND hWnd=::FindWindow(NULL,L"AAA"); //注入的線程對應窗體的title AAA,//主要就是為了獲得tid 和 pid 這個地方可以對應修改,通過別的姿勢獲取。if(hWnd==NULL){MessageBox(NULL ,L"未獲取窗口句柄!",L"失敗",MB_OK);return;}DWORD pid,tid;tid=GetWindowThreadProcessId(hWnd,&pid);if(tid<=0){MessageBox(NULL ,L"未獲取線程ID",L"失敗" ,MB_OK);return;}if(pid<=0){MessageBox(NULL ,L"未獲取進程ID",L"失敗" ,MB_OK);return;}HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);if(hProcess <= 0){MessageBox(NULL ,L"未獲取進程句柄",L"失敗" ,MB_OK);return;}HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);if(hThread <= 0){MessageBox(NULL ,L"未獲取線程ID",L"失敗" ,MB_OK);return;}SuspendThread(hThread); //掛起線程 CONTEXT ct={0};ct.ContextFlags = CONTEXT_CONTROL;GetThreadContext(hThread,&ct); //獲取,保存線程寄存器相關DWORD dwSize = sizeof(WCHAR)*1024; //0-0x100 寫代碼 之后寫數據BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);DWORD dwWrited = 0;::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath, //先把路徑(數據)寫到內存里,從0x100開始(wcslen(pDllPath) + 1) * sizeof(WCHAR), &dwWrited);FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");BYTE ShellCode[32] = { 0 };DWORD *pdwAddr = NULL;ShellCode[0] = 0x60; // pushadShellCode[1] = 0x9c; // pushfdShellCode[2] = 0x68; // pushpdwAddr = (DWORD *)&ShellCode[3]; // ShellCode[3/4/5/6]*pdwAddr = (DWORD)(pProcessMem + 0x100);ShellCode[7] = 0xe8;//callpdwAddr = (DWORD *)&ShellCode[8]; // ShellCode[8/9/10/11]*pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + 7) + 5 ); // 因為直接call地址了,所以對應機器碼需要轉換,計算VAShellCode[12] = 0x9d; // popfdShellCode[13] = 0x61; // popadShellCode[14] = 0xe9; // jmppdwAddr = (DWORD *)&ShellCode[15]; // ShellCode[15/16/17/18]*pdwAddr = ct.Eip - ((DWORD)(pProcessMem + 14) + 5); //因為直接jmp地址了,所以對應機器碼需要轉換,計算VA::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);ct.Eip = (DWORD)pProcessMem;::SetThreadContext(hThread, &ct);::ResumeThread(hThread);::CloseHandle(hProcess);::CloseHandle(hThread);}
int _tmain(int argc, _TCHAR* argv[]){ Test();return 0;
}相關資源和測試程序:http://download.csdn.net/detail/u013761036/9660423
總結
以上是生活随笔為你收集整理的通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows核心编程 第十二章 纤程
- 下一篇: 导入表编程-枚举导入表