/*  描述
功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分)

原理:

    挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,

但是和平时说的远程代码注入在注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的。

作者:zijian song

时间:2016.10.21

*/

/*  思路

修改EID实现代码注入的汇编思路如下

SuspendThread();

get eip

push ad

push fd

push AddressDllFilePath

call LoadLibrary

pop fd

pop ad

jmp eip   //这个是为了让程序执行完我们的代码之后自己跳转回去继续执行

ResumeThread();

*/

/*

注意两个问题

1.call 如果直接是个地址的话要这么计算

call  RVA - call指令的下一条地址   RVA - (nowaddress + 5)   //+5是因为 call dword 是长度5    1+4

2.jmp 直接跳转地址也是同理

jmp   RVA - jmp指令的销一条地址    RVA - (nowaddress + 5)  //+5是因为 jmp dword 长度是5      1+4

Tip

还有就是要知道,Kernel32.LoadLibraryW的地址不同进程是一样的,这样就可以直接得到相关RVA

*/

#include "stdafx.h"

#include <string>

#include <windows.h>

#include "AnalyzeAndRun.h"

using namespace std;

WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll";              //被注入dll的路径(32位)

VOID Test(){

	HWND hWnd=::FindWindow(NULL,L"AAA");                      //注入的线程对应窗体的title AAA,

	                                                          //主要就是为了获得tid 和 pid 这个地方可以对应修改,通过别的姿势获取。

	if(hWnd==NULL){

		MessageBox(NULL ,L"未获取窗口句柄!",L"失败",MB_OK);

		return;

	}

	DWORD pid,tid;

	tid=GetWindowThreadProcessId(hWnd,&pid);

	if(tid<=0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	if(pid<=0){

		MessageBox(NULL ,L"未获取进程ID",L"失败" ,MB_OK);

		return;

	}

	HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);

	if(hProcess <= 0){

		MessageBox(NULL ,L"未获取进程句柄",L"失败" ,MB_OK);

		return;

	}

	HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);

	if(hThread <= 0){

		MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);

		return;

	}

	SuspendThread(hThread);                         //挂起线程                     

	CONTEXT ct={0};

	ct.ContextFlags = CONTEXT_CONTROL;

	GetThreadContext(hThread,&ct);                 //获取,保存线程寄存器相关

	DWORD dwSize = sizeof(WCHAR)*1024;             //0-0x100 写代码 之后写数据

	BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

	DWORD dwWrited = 0;

	::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath,   //先把路径(数据)写到内存里,从0x100开始

		(wcslen(pDllPath) + 1) * sizeof(WCHAR), &dwWrited);

	FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");

	BYTE ShellCode[32] = { 0 };

	DWORD *pdwAddr = NULL;

	ShellCode[0] = 0x60; // pushad

	ShellCode[1] = 0x9c; // pushfd

	ShellCode[2] = 0x68; // push

	pdwAddr = (DWORD *)&ShellCode[3]; // ShellCode[3/4/5/6]

	*pdwAddr = (DWORD)(pProcessMem + 0x100);

	ShellCode[7] = 0xe8;//call

	pdwAddr = (DWORD *)&ShellCode[8]; // ShellCode[8/9/10/11]

	*pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + 7) + 5 );  // 因为直接call地址了,所以对应机器码需要转换,计算VA

	ShellCode[12] = 0x9d; // popfd

	ShellCode[13] = 0x61; // popad

	ShellCode[14] = 0xe9; // jmp

	pdwAddr = (DWORD *)&ShellCode[15]; // ShellCode[15/16/17/18]

	*pdwAddr = ct.Eip - ((DWORD)(pProcessMem + 14) + 5);  //因为直接jmp地址了,所以对应机器码需要转换,计算VA

	::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);

	ct.Eip = (DWORD)pProcessMem;

	::SetThreadContext(hThread, &ct);

	::ResumeThread(hThread);

	::CloseHandle(hProcess);

	::CloseHandle(hThread);

}

int _tmain(int argc, _TCHAR* argv[]){

	Test();

	return 0;

}

相关资源和测试程序:http://download.csdn.net/detail/u013761036/9660423

通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里的更多相关文章

  1. 通过修改EIP寄存器实现远程注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分) 原理: 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝 ...

  2. 通过修改EIP寄存器实现32位程序的DLL注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入 <如果是64位 记得自己对应修改汇编代码部分> 原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器 ...

  3. 常见注入手法第一讲EIP寄存器注入

    常见注入手法第一讲EIP寄存器注入 博客园IBinary原创  博客连接:http://www.cnblogs.com/iBinary/ 转载请注明出处,谢谢 鉴于注入手法太多,所以这里自己整理一下, ...

  4. 汇编指令之JMP,CALL,RET(修改EIP的值!!!)

    简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ES ...

  5. 汇编知识之EIP寄存器

    eip寄存器存储着我们cpu要读取指令的地址,没有了它,cpu就无法读取下面的指令(通俗点讲cpu就无法执行.每次相应汇编指令执行完相应的eip值就会增加. 因为80386 cpu的寻址范围是4GB. ...

  6. 通过注入DLL修改API代码实现钩取(一)

    通过注入DLL修改API代码实现钩取(一) Ox00 大致思路 通过CreateRemoteThread函数开辟新线程,并将DLL注入进去 通过GetProcessAddress函数找到需钩取的API ...

  7. react第十三单元(react路由-react路由的跳转以及路由信息) #课程目标

    第十三单元(react路由-react路由的跳转以及路由信息) #课程目标 熟悉掌握路由的配置 熟悉掌握跳转路由的方式 熟悉掌握路由跳转传参的方式 可以根据对其的理解封装一个类似Vue的router- ...

  8. a标签点击跳转到新窗口打开目标资源

    点击a标签跳转到新窗口打开目标资源, <a href="http://gd.zjtcn.com/facs/c_t_p1_圆钉 50-75.html" target=" ...

  9. 经典定长指令-修改EIP

    1.0x70~0x7F EIP无法像通用寄存器那样用mov来修改,只能通过类似于jz,JNB,JNE JBE,call等的跳转指令来进行修改 条件跳转,后跟一个字节立即数的偏移(有符号),共两个字节. ...

随机推荐

  1. 少走弯路之marshalsec的编译(RMI必备工具)

        0x00 实验环境 实验机:Ubuntu18(公网Linux系统) 0x01 安装包 私聊我博客将会第一时间提供安装包环境: 0x02 避坑指南 由上篇文章:https://www.cnblo ...

  2. C语言编程 菜鸟练习100题(21-30)

    [练习21]计算自然数的和 0. 题目: 计算自然数的和 1. 分析: 练习使用 for 循环结构.for 循环允许一个执行指定次数的循环控制结构. 2. 程序: #include <stdio ...

  3. react+lib-flexible适配浏览器宽度配置

    p.p1 { margin: 0; font: 12px "Helvetica Neue" } p.p2 { margin: 0; font: 12px "Helveti ...

  4. logging日志的使用和设置过期自动删除

    一.logging的基础使用 1.logging的级别 import logging logging.debug('debug message') # 计算或者工作的细节 logging.info(' ...

  5. socket 之send和recv原理剖析

    认识TCP socket的发送缓冲区和接收缓冲区 当创建一个TCP socket对象的时候会有一个发送缓冲区和一个接收缓冲区,相当与内存中的一片空间 send原理剖析 send是不是直接把数据发送给服 ...

  6. MySQL优化从执行计划开始(explain超详细)

    前言 小伙伴一定遇到过这样反馈:这页面加载数据太慢啦,甚至有的超时了,用户体验极差,需要赶紧优化: 反馈等同于投诉啊,多有几次,估计领导要找你谈话啦. 于是不得不停下手里头的活,赶紧进行排查,最终可能 ...

  7. c++ 反汇编 局部静态变量

    vs2017下测试 34: for (int i = 0; i < 5; i++) 0029734E C7 45 F8 00 00 00 00 mov dword ptr [ebp-8],0 0 ...

  8. 【odoo14】第二十三章、管理邮件

    邮件集成是odoo最重要的特性.我们可以通过odoo收发邮件.我们甚至可以管理业务文档上的电子邮件,如潜在客户.销售订单和项目.本章,我们将探讨在odoo中处理邮件的方式. 配置邮件服务器 管理文档中 ...

  9. java例题_43 求0—7所能组成的奇数个数

    1 /*43 [程序 43 求奇数个数] 2 题目:求 0-7 所能组成的奇数个数. 3 */ 4 5 /*分析 6 * 1.0不能作最高位且最低位只能是1,3,5,7; 7 * 2.没有限定是几位数 ...

  10. css盒模型以及如何计算盒子的宽度

    css盒模型以及如何计算盒子的宽度 盒模型 每个存在于可访问性树中的元素都会被浏览器绘制成一个盒子[1]. 每个盒子都可以看成由4部分组成,它们分别是 - 元素外边距(margin).元素边框(bor ...