/*  描述
功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分)

原理:

    挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,

但是和平时说的远程代码注入在注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的。

作者:zijian song

时间:2016.10.21

*/

/*  思路

修改EID实现代码注入的汇编思路如下

SuspendThread();

get eip

push ad

push fd

push AddressDllFilePath

call LoadLibrary

pop fd

pop ad

jmp eip   //这个是为了让程序执行完我们的代码之后自己跳转回去继续执行

ResumeThread();

*/

/*

注意两个问题

1.call 如果直接是个地址的话要这么计算

call  RVA - call指令的下一条地址   RVA - (nowaddress + 5)   //+5是因为 call dword 是长度5    1+4

2.jmp 直接跳转地址也是同理

jmp   RVA - jmp指令的销一条地址    RVA - (nowaddress + 5)  //+5是因为 jmp dword 长度是5      1+4

Tip

还有就是要知道,Kernel32.LoadLibraryW的地址不同进程是一样的,这样就可以直接得到相关RVA

*/

#include "stdafx.h"

#include <string>

#include <windows.h>

#include "AnalyzeAndRun.h"

using namespace std;

WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll";              //被注入dll的路径(32位)

VOID Test(){

	HWND hWnd=::FindWindow(NULL,L"AAA");                      //注入的线程对应窗体的title AAA,

	                                                          //主要就是为了获得tid 和 pid 这个地方可以对应修改,通过别的姿势获取。

	if(hWnd==NULL){

		MessageBox(NULL ,L"未获取窗口句柄!",L"失败",MB_OK);

		return;

	}

	DWORD pid,tid;

	tid=GetWindowThreadProcessId(hWnd,&pid);

	if(tid<=0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	if(pid<=0){

		MessageBox(NULL ,L"未获取进程ID",L"失败" ,MB_OK);

		return;

	}

	HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);

	if(hProcess <= 0){

		MessageBox(NULL ,L"未获取进程句柄",L"失败" ,MB_OK);

		return;

	}

	HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);

	if(hThread <= 0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	SuspendThread(hThread);                         //挂起线程                     

	CONTEXT ct={0};

	ct.ContextFlags = CONTEXT_CONTROL;

	GetThreadContext(hThread,&ct);                 //获取,保存线程寄存器相关

	DWORD dwSize = sizeof(WCHAR)*1024;             //0-0x100 写代码 之后写数据

	BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

	DWORD dwWrited = 0;

	::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath,   //先把路径(数据)写到内存里,从0x100开始

		(wcslen(pDllPath) + 1) * sizeof(WCHAR), &dwWrited);

	FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");

	BYTE ShellCode[32] = { 0 };

	DWORD *pdwAddr = NULL;

	ShellCode[0] = 0x60; // pushad

	ShellCode[1] = 0x9c; // pushfd

	ShellCode[2] = 0x68; // push

	pdwAddr = (DWORD *)&ShellCode[3]; // ShellCode[3/4/5/6]

	*pdwAddr = (DWORD)(pProcessMem + 0x100);

	ShellCode[7] = 0xe8;//call

	pdwAddr = (DWORD *)&ShellCode[8]; // ShellCode[8/9/10/11]

	*pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + 7) + 5 );  // 因为直接call地址了,所以对应机器码需要转换,计算VA

	ShellCode[12] = 0x9d; // popfd

	ShellCode[13] = 0x61; // popad

	ShellCode[14] = 0xe9; // jmp

	pdwAddr = (DWORD *)&ShellCode[15]; // ShellCode[15/16/17/18]

	*pdwAddr = ct.Eip - ((DWORD)(pProcessMem + 14) + 5);  //因为直接jmp地址了,所以对应机器码需要转换,计算VA

	::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);

	ct.Eip = (DWORD)pProcessMem;

	::SetThreadContext(hThread, &ct);

	::ResumeThread(hThread);

	::CloseHandle(hProcess);

	::CloseHandle(hThread);

}

int _tmain(int argc, _TCHAR* argv[]){

	Test();

	return 0;

}

相关资源和测试程序:http://download.csdn.net/detail/u013761036/9660423

通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里的更多相关文章

  1. 通过修改EIP寄存器实现远程注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分) 原理: 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝 ...

  2. 通过修改EIP寄存器实现32位程序的DLL注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入 <如果是64位 记得自己对应修改汇编代码部分> 原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器 ...

  3. 常见注入手法第一讲EIP寄存器注入

    常见注入手法第一讲EIP寄存器注入 博客园IBinary原创  博客连接:http://www.cnblogs.com/iBinary/ 转载请注明出处,谢谢 鉴于注入手法太多,所以这里自己整理一下, ...

  4. 汇编指令之JMP,CALL,RET(修改EIP的值!!!)

    简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ES ...

  5. 汇编知识之EIP寄存器

    eip寄存器存储着我们cpu要读取指令的地址,没有了它,cpu就无法读取下面的指令(通俗点讲cpu就无法执行.每次相应汇编指令执行完相应的eip值就会增加. 因为80386 cpu的寻址范围是4GB. ...

  6. 通过注入DLL修改API代码实现钩取(一)

    通过注入DLL修改API代码实现钩取(一) Ox00 大致思路 通过CreateRemoteThread函数开辟新线程,并将DLL注入进去 通过GetProcessAddress函数找到需钩取的API ...

  7. react第十三单元(react路由-react路由的跳转以及路由信息) #课程目标

    第十三单元(react路由-react路由的跳转以及路由信息) #课程目标 熟悉掌握路由的配置 熟悉掌握跳转路由的方式 熟悉掌握路由跳转传参的方式 可以根据对其的理解封装一个类似Vue的router- ...

  8. a标签点击跳转到新窗口打开目标资源

    点击a标签跳转到新窗口打开目标资源, <a href="http://gd.zjtcn.com/facs/c_t_p1_圆钉 50-75.html" target=" ...

  9. 经典定长指令-修改EIP

    1.0x70~0x7F EIP无法像通用寄存器那样用mov来修改,只能通过类似于jz,JNB,JNE JBE,call等的跳转指令来进行修改 条件跳转,后跟一个字节立即数的偏移(有符号),共两个字节. ...

随机推荐

  1. Shiro反序列化<=1.2.4 复现

    Apache Shiro是一个Java安全框架,执行身份验证.授权.密码和会话管理.    shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到reme ...

  2. Idea 报错 xxxx too long

    问题:写单元测试,debug时,报错如下图 解决方法1: 在项目/.idea/workspace.xml文件中添加一行代码如下 <component name="PropertiesC ...

  3. Spring 中的事务

    前言: 之前总结了事务以及数据库中事务相关的知识点,Spring 对于事务做了相应的封装,便于业务开发中使用事务. 项目中使用Spring中的事务首先时基于Mysql数据库中InnoDB 引擎的,如果 ...

  4. FreeBSD csh shell 配置

    在/etc/csh.cshrc里面加入: alias ls ls –G, 并重新登录 问:如何让FreeBSD的csh像bash那样按tab列出列出无法补齐的候选文件? 答:标准的方法是按Ctrl+D ...

  5. C# 应用 - 使用 HttpClient 发起上传文件、下载文件请求

    1. 示例代码 using System; using System.IO; using System.Net.Http; /// <summary> /// 下载文件 /// </ ...

  6. kubernetes生产实践之mongodb

    简介 先看下生命周期图 kubedb支持的mongodb版本 [root@qd01-stop-k8s-master001 mysql]# kubectl get mongodbversions NAM ...

  7. 远程文件管理系统(SpringBoot + Vue)

    一.简介 可以实现对本地文件的 增.删.改.重命名等操作的监控,通过登录远程文件监控系统,获取一段时间内本地文件的变化情况. 系统功能图如下: 流程图如下: 二.本地文件监控程序的实现(C++) 调用 ...

  8. 【Django笔记2】-创建应用(app)与模型(models)

    1,创建应用(app) ​ 一个完善的网站需要许多功能提供不同的服务.如果所有的功能都在一个文件中,不利于项目多人共同开发,以及后续的维护.此时可以针对一个要实现的功能,创建一个app,将多个app结 ...

  9. [系统重装日志1]快速迁移/恢复Mendeley的文献和笔记

    一时手贱把原先系统的EFI分区给删了,按照网上的教程还没有恢复成功,无奈之下只能重装系统,想想这么多环境和配置真是酸爽. 身为一个伪科研工作者,首先想到的是自己的文献和阅读笔记.我所使用的文献管理工具 ...

  10. 自动获取IMC系统所有网络设备资产信息

    1 #coding=utf8 2 3 """ 4 CMDB接口调用 5 """ 6 import csv 7 import json 8 i ...