/*  描述
功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分)

原理:

    挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,

但是和平时说的远程代码注入在注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的。

作者:zijian song

时间:2016.10.21

*/

/*  思路

修改EID实现代码注入的汇编思路如下

SuspendThread();

get eip

push ad

push fd

push AddressDllFilePath

call LoadLibrary

pop fd

pop ad

jmp eip   //这个是为了让程序执行完我们的代码之后自己跳转回去继续执行

ResumeThread();

*/

/*

注意两个问题

1.call 如果直接是个地址的话要这么计算

call  RVA - call指令的下一条地址   RVA - (nowaddress + 5)   //+5是因为 call dword 是长度5    1+4

2.jmp 直接跳转地址也是同理

jmp   RVA - jmp指令的销一条地址    RVA - (nowaddress + 5)  //+5是因为 jmp dword 长度是5      1+4

Tip

还有就是要知道,Kernel32.LoadLibraryW的地址不同进程是一样的,这样就可以直接得到相关RVA

*/

#include "stdafx.h"

#include <string>

#include <windows.h>

#include "AnalyzeAndRun.h"

using namespace std;

WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll";              //被注入dll的路径(32位)

VOID Test(){

	HWND hWnd=::FindWindow(NULL,L"AAA");                      //注入的线程对应窗体的title AAA,

	                                                          //主要就是为了获得tid 和 pid 这个地方可以对应修改,通过别的姿势获取。

	if(hWnd==NULL){

		MessageBox(NULL ,L"未获取窗口句柄!",L"失败",MB_OK);

		return;

	}

	DWORD pid,tid;

	tid=GetWindowThreadProcessId(hWnd,&pid);

	if(tid<=0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	if(pid<=0){

		MessageBox(NULL ,L"未获取进程ID",L"失败" ,MB_OK);

		return;

	}

	HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);

	if(hProcess <= 0){

		MessageBox(NULL ,L"未获取进程句柄",L"失败" ,MB_OK);

		return;

	}

	HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);

	if(hThread <= 0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	SuspendThread(hThread);                         //挂起线程                     

	CONTEXT ct={0};

	ct.ContextFlags = CONTEXT_CONTROL;

	GetThreadContext(hThread,&ct);                 //获取,保存线程寄存器相关

	DWORD dwSize = sizeof(WCHAR)*1024;             //0-0x100 写代码 之后写数据

	BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

	DWORD dwWrited = 0;

	::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath,   //先把路径(数据)写到内存里,从0x100开始

		(wcslen(pDllPath) + 1) * sizeof(WCHAR), &dwWrited);

	FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");

	BYTE ShellCode[32] = { 0 };

	DWORD *pdwAddr = NULL;

	ShellCode[0] = 0x60; // pushad

	ShellCode[1] = 0x9c; // pushfd

	ShellCode[2] = 0x68; // push

	pdwAddr = (DWORD *)&ShellCode[3]; // ShellCode[3/4/5/6]

	*pdwAddr = (DWORD)(pProcessMem + 0x100);

	ShellCode[7] = 0xe8;//call

	pdwAddr = (DWORD *)&ShellCode[8]; // ShellCode[8/9/10/11]

	*pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + 7) + 5 );  // 因为直接call地址了,所以对应机器码需要转换,计算VA

	ShellCode[12] = 0x9d; // popfd

	ShellCode[13] = 0x61; // popad

	ShellCode[14] = 0xe9; // jmp

	pdwAddr = (DWORD *)&ShellCode[15]; // ShellCode[15/16/17/18]

	*pdwAddr = ct.Eip - ((DWORD)(pProcessMem + 14) + 5);  //因为直接jmp地址了,所以对应机器码需要转换,计算VA

	::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);

	ct.Eip = (DWORD)pProcessMem;

	::SetThreadContext(hThread, &ct);

	::ResumeThread(hThread);

	::CloseHandle(hProcess);

	::CloseHandle(hThread);

}

int _tmain(int argc, _TCHAR* argv[]){

	Test();

	return 0;

}

相关资源和测试程序:http://download.csdn.net/detail/u013761036/9660423

通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里的更多相关文章

  1. 通过修改EIP寄存器实现远程注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分) 原理: 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝 ...

  2. 通过修改EIP寄存器实现32位程序的DLL注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入 <如果是64位 记得自己对应修改汇编代码部分> 原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器 ...

  3. 常见注入手法第一讲EIP寄存器注入

    常见注入手法第一讲EIP寄存器注入 博客园IBinary原创  博客连接:http://www.cnblogs.com/iBinary/ 转载请注明出处,谢谢 鉴于注入手法太多,所以这里自己整理一下, ...

  4. 汇编指令之JMP,CALL,RET(修改EIP的值!!!)

    简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ES ...

  5. 汇编知识之EIP寄存器

    eip寄存器存储着我们cpu要读取指令的地址,没有了它,cpu就无法读取下面的指令(通俗点讲cpu就无法执行.每次相应汇编指令执行完相应的eip值就会增加. 因为80386 cpu的寻址范围是4GB. ...

  6. 通过注入DLL修改API代码实现钩取(一)

    通过注入DLL修改API代码实现钩取(一) Ox00 大致思路 通过CreateRemoteThread函数开辟新线程,并将DLL注入进去 通过GetProcessAddress函数找到需钩取的API ...

  7. react第十三单元(react路由-react路由的跳转以及路由信息) #课程目标

    第十三单元(react路由-react路由的跳转以及路由信息) #课程目标 熟悉掌握路由的配置 熟悉掌握跳转路由的方式 熟悉掌握路由跳转传参的方式 可以根据对其的理解封装一个类似Vue的router- ...

  8. a标签点击跳转到新窗口打开目标资源

    点击a标签跳转到新窗口打开目标资源, <a href="http://gd.zjtcn.com/facs/c_t_p1_圆钉 50-75.html" target=" ...

  9. 经典定长指令-修改EIP

    1.0x70~0x7F EIP无法像通用寄存器那样用mov来修改,只能通过类似于jz,JNB,JNE JBE,call等的跳转指令来进行修改 条件跳转,后跟一个字节立即数的偏移(有符号),共两个字节. ...

随机推荐

  1. 安全框架Drozer安装和简单使用

    安全框架Drozer安装和简单使用 说明: drozer(即以前的Mercury)是一个开源的Android安全测试框架 drozer不是什么新工具,但确实很实用,网上的资料教程都很多了,最近自己项目 ...

  2. Hznu_oj 2340 你敢一个人过桥吗?

    Description 在漆黑的夜里,N位旅行者来到了一座狭窄而且没有护栏的桥边.如果不借助手电筒的话,大家是无论如何也不敢过桥去的.不幸的是,N个人一共只带了一只手电筒,而桥窄得只够让两个人同时过. ...

  3. 11、Spring教程之声明式事务

    1.回顾事务 事务在项目开发过程非常重要,涉及到数据的一致性的问题,不容马虎! 事务管理是企业级应用程序开发中必备技术,用来确保数据的完整性和一致性. 事务就是把一系列的动作当成一个独立的工作单元,这 ...

  4. 【MCU】国民N32固件库移植

    目录 前言 移植N32Gxxx系列要点 前言 链接: 李柱明博客 移植AT32库&FreeRTOS教程 由于大部分国产MCU移植固件库.RTOS源码都是差不多的,所以本文不讲细节,如想熟悉移植 ...

  5. 依赖反转原则DIP 与使用了Repository模式的asp.net core项目结构

    DIP 依赖反转原则 Dependency Inversion Principle 的定义如下: 高级别的模块不应该依赖于低级别的模块, 他们都应该依赖于抽象. 假设Controller依赖于Repo ...

  6. 优化 ASP.NET Core Docker 镜像的大小

    在这容器化的世界里,我们已经很少直接通过文件发布来运行asp.net core程序了.现在大多数情况下,我们都会使用docker来运行程序.在使用docker之前,我们往往需要打包我们的应用程序.as ...

  7. Android Studio 之 用 Drawable resource file 美化 Button 样式

    shape •新建 Drawable resource file 点击 app/src/main/res 找到 drawable 文件夹,右击->New->Drawable Resourc ...

  8. HTTP2和 HTTPS来不来了解一下?

    本文力求简单讲清每个知识点,希望大家看完能有所收获 一.HTTP协议的今生来世 最近在看博客的时候,发现有的面试题已经考HTTP/2了,于是我就顺着去了解一下. 到现在为止,HTTP协议已经有三个版本 ...

  9. 高精度加法(c++)

    为什么要用高精度? 有时我们要进行精度较高的运算时,就要使用高精度来进行运算: 就如例题: 大整数加法 时间限制: 1000 ms 内存限制: 65536 KB 提交数: 21965 通过数: 634 ...

  10. Java中对象的生与灭- 核心篇

    前言 大家好啊,我是汤圆,今天给大家带来的是<Java中对象的生与灭- 核心篇>,希望对大家有帮助,谢谢 文章纯属原创,个人总结难免有差错,如果有,麻烦在评论区回复或后台私信,谢啦 简介 ...