/*  描述
功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分)

原理:

    挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,

但是和平时说的远程代码注入在注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的。

作者:zijian song

时间:2016.10.21

*/

/*  思路

修改EID实现代码注入的汇编思路如下

SuspendThread();

get eip

push ad

push fd

push AddressDllFilePath

call LoadLibrary

pop fd

pop ad

jmp eip   //这个是为了让程序执行完我们的代码之后自己跳转回去继续执行

ResumeThread();

*/

/*

注意两个问题

1.call 如果直接是个地址的话要这么计算

call  RVA - call指令的下一条地址   RVA - (nowaddress + 5)   //+5是因为 call dword 是长度5    1+4

2.jmp 直接跳转地址也是同理

jmp   RVA - jmp指令的销一条地址    RVA - (nowaddress + 5)  //+5是因为 jmp dword 长度是5      1+4

Tip

还有就是要知道,Kernel32.LoadLibraryW的地址不同进程是一样的,这样就可以直接得到相关RVA

*/

#include "stdafx.h"

#include <string>

#include <windows.h>

#include "AnalyzeAndRun.h"

using namespace std;

WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll";              //被注入dll的路径(32位)

VOID Test(){

	HWND hWnd=::FindWindow(NULL,L"AAA");                      //注入的线程对应窗体的title AAA,

	                                                          //主要就是为了获得tid 和 pid 这个地方可以对应修改,通过别的姿势获取。

	if(hWnd==NULL){

		MessageBox(NULL ,L"未获取窗口句柄!",L"失败",MB_OK);

		return;

	}

	DWORD pid,tid;

	tid=GetWindowThreadProcessId(hWnd,&pid);

	if(tid<=0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	if(pid<=0){

		MessageBox(NULL ,L"未获取进程ID",L"失败" ,MB_OK);

		return;

	}

	HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);

	if(hProcess <= 0){

		MessageBox(NULL ,L"未获取进程句柄",L"失败" ,MB_OK);

		return;

	}

	HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);

	if(hThread <= 0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	SuspendThread(hThread);                         //挂起线程                     

	CONTEXT ct={0};

	ct.ContextFlags = CONTEXT_CONTROL;

	GetThreadContext(hThread,&ct);                 //获取,保存线程寄存器相关

	DWORD dwSize = sizeof(WCHAR)*1024;             //0-0x100 写代码 之后写数据

	BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

	DWORD dwWrited = 0;

	::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath,   //先把路径(数据)写到内存里,从0x100开始

		(wcslen(pDllPath) + 1) * sizeof(WCHAR), &dwWrited);

	FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");

	BYTE ShellCode[32] = { 0 };

	DWORD *pdwAddr = NULL;

	ShellCode[0] = 0x60; // pushad

	ShellCode[1] = 0x9c; // pushfd

	ShellCode[2] = 0x68; // push

	pdwAddr = (DWORD *)&ShellCode[3]; // ShellCode[3/4/5/6]

	*pdwAddr = (DWORD)(pProcessMem + 0x100);

	ShellCode[7] = 0xe8;//call

	pdwAddr = (DWORD *)&ShellCode[8]; // ShellCode[8/9/10/11]

	*pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + 7) + 5 );  // 因为直接call地址了,所以对应机器码需要转换,计算VA

	ShellCode[12] = 0x9d; // popfd

	ShellCode[13] = 0x61; // popad

	ShellCode[14] = 0xe9; // jmp

	pdwAddr = (DWORD *)&ShellCode[15]; // ShellCode[15/16/17/18]

	*pdwAddr = ct.Eip - ((DWORD)(pProcessMem + 14) + 5);  //因为直接jmp地址了,所以对应机器码需要转换,计算VA

	::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);

	ct.Eip = (DWORD)pProcessMem;

	::SetThreadContext(hThread, &ct);

	::ResumeThread(hThread);

	::CloseHandle(hProcess);

	::CloseHandle(hThread);

}

int _tmain(int argc, _TCHAR* argv[]){

	Test();

	return 0;

}

相关资源和测试程序:http://download.csdn.net/detail/u013761036/9660423

通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里的更多相关文章

  1. 通过修改EIP寄存器实现远程注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分) 原理: 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝 ...

  2. 通过修改EIP寄存器实现32位程序的DLL注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入 <如果是64位 记得自己对应修改汇编代码部分> 原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器 ...

  3. 常见注入手法第一讲EIP寄存器注入

    常见注入手法第一讲EIP寄存器注入 博客园IBinary原创  博客连接:http://www.cnblogs.com/iBinary/ 转载请注明出处,谢谢 鉴于注入手法太多,所以这里自己整理一下, ...

  4. 汇编指令之JMP,CALL,RET(修改EIP的值!!!)

    简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ES ...

  5. 汇编知识之EIP寄存器

    eip寄存器存储着我们cpu要读取指令的地址,没有了它,cpu就无法读取下面的指令(通俗点讲cpu就无法执行.每次相应汇编指令执行完相应的eip值就会增加. 因为80386 cpu的寻址范围是4GB. ...

  6. 通过注入DLL修改API代码实现钩取(一)

    通过注入DLL修改API代码实现钩取(一) Ox00 大致思路 通过CreateRemoteThread函数开辟新线程,并将DLL注入进去 通过GetProcessAddress函数找到需钩取的API ...

  7. react第十三单元(react路由-react路由的跳转以及路由信息) #课程目标

    第十三单元(react路由-react路由的跳转以及路由信息) #课程目标 熟悉掌握路由的配置 熟悉掌握跳转路由的方式 熟悉掌握路由跳转传参的方式 可以根据对其的理解封装一个类似Vue的router- ...

  8. a标签点击跳转到新窗口打开目标资源

    点击a标签跳转到新窗口打开目标资源, <a href="http://gd.zjtcn.com/facs/c_t_p1_圆钉 50-75.html" target=" ...

  9. 经典定长指令-修改EIP

    1.0x70~0x7F EIP无法像通用寄存器那样用mov来修改,只能通过类似于jz,JNB,JNE JBE,call等的跳转指令来进行修改 条件跳转,后跟一个字节立即数的偏移(有符号),共两个字节. ...

随机推荐

  1. golang——gRPC学习

    1.获取gRPC 环境变量GOPATH的src目录下执行: git clone https://github.com/grpc/grpc-go.git google.golang.org/grpc g ...

  2. C语言之三字棋的简单实现及扩展

    C语言之三字棋的简单实现及扩展 在我们学习完数组之后,我们完全可以利用数组相关知识来写一个微小型的游戏,比如说今天所说的--三子棋. 大纲: 文件组成 实现   完整代码展示   扩展 即: 一.文件 ...

  3. Centos mini系统下的Hadoop集群搭建

    1.事前了解 1.1 Hadoop 百度百科:https://baike.baidu.com/item/Hadoop/3526507?fr=aladdin Hadoop是一个由Apache基金会所开发 ...

  4. find文本处理(locate)实例学习记录

    find文本处理(locate)实例学习记录 (一)按文件名称查找 按照文件名称查找是 find 最常见的用法,需要注意的是,搜索的文件名必须完全匹配,才能找到对应的文件. 1. 查找当前目录下所有 ...

  5. (三)SpringBoot启动过程的分析-创建应用程序上下文

    -- 以下内容均基于2.1.8.RELEASE版本 紧接着上一篇(二)SpringBoot启动过程的分析-环境信息准备,本文将分析环境准备完毕之后的下一步操作:ApplicationContext的创 ...

  6. 国产mcu理论数据评估工作记录

    目录 前言 简要工作记录 前言 时间:20210315 主要记录这两天对国内各IC厂商的 MCU 了解记录. 大环境,ST 厂商 MCU 疯狂涨价,国内 MCU 也越来越完善,还便宜.同时,全球缺晶圆 ...

  7. 你要偷偷学会排查线上CPU飙高的问题,然后惊艳所有人!

    GitHub 20k Star 的Java工程师成神之路,不来了解一下吗! GitHub 20k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 20k Star 的Java工 ...

  8. DAOS 分布式异步对象存储|架构设计

    分布式异步对象存储 (DAOS) 是一个开源的对象存储系统,专为大规模分布式非易失性内存 (NVM, Non-Volatile Memory) 设计,利用了SCM(Storage-Class Memo ...

  9. Java单链表反转图文详解

    Java单链表反转图文详解 最近在回顾链表反转问题中,突然有一些新的发现和收获,特此整理一下,与大家分享 背景回顾 单链表的存储结构如图: 数据域存放数据元素,指针域存放后继结点地址 我们以一条 N1 ...

  10. TypeError: 'list' object cannot be interpreted as an integer Python常见错误

    想要通过索引来迭代一个list或者string的元素, 这需要调用 range() 函数.要记得返回len 值而不是返回这个列表.