/*  描述
功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分)
原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,
但是和平时说的远程代码注入在注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的。
作者:zijian song
时间:2016.10.21
*//*  思路
修改EID实现代码注入的汇编思路如下
SuspendThread();
get eip
push ad
push fd
push AddressDllFilePath
call LoadLibrary
pop fd
pop ad
jmp eip   //这个是为了让程序执行完我们的代码之后自己跳转回去继续执行
ResumeThread();
*//*
注意两个问题
1.call 如果直接是个地址的话要这么计算
call  RVA - call指令的下一条地址   RVA - (nowaddress + 5)   //+5是因为 call dword 是长度5    1+4
2.jmp 直接跳转地址也是同理
jmp   RVA - jmp指令的销一条地址    RVA - (nowaddress + 5)  //+5是因为 jmp dword 长度是5      1+4
Tip
还有就是要知道,Kernel32.LoadLibraryW的地址不同进程是一样的,这样就可以直接得到相关RVA
*/#include "stdafx.h"
#include <string>
#include <windows.h>
#include "AnalyzeAndRun.h"
using namespace std;WCHAR pDllPath[] = L"C:\\TestDllMexxBoxX32.dll";              //被注入dll的路径(32位)
VOID Test(){HWND hWnd=::FindWindow(NULL,L"AAA");                      //注入的线程对应窗体的title AAA,//主要就是为了获得tid 和 pid 这个地方可以对应修改,通过别的姿势获取。if(hWnd==NULL){MessageBox(NULL ,L"未获取窗口句柄!",L"失败",MB_OK);return;}DWORD pid,tid;tid=GetWindowThreadProcessId(hWnd,&pid);if(tid<=0){MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);return;}if(pid<=0){MessageBox(NULL ,L"未获取进程ID",L"失败" ,MB_OK);return;}HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);if(hProcess <= 0){MessageBox(NULL ,L"未获取进程句柄",L"失败" ,MB_OK);return;}HANDLE hThread=OpenThread(THREAD_ALL_ACCESS,FALSE,tid);if(hThread <= 0){MessageBox(NULL ,L"未获取线程ID",L"失败" ,MB_OK);return;}SuspendThread(hThread);                         //挂起线程                     CONTEXT ct={0};ct.ContextFlags = CONTEXT_CONTROL;GetThreadContext(hThread,&ct);                 //获取,保存线程寄存器相关DWORD dwSize = sizeof(WCHAR)*1024;             //0-0x100 写代码 之后写数据BYTE *pProcessMem = (BYTE *)::VirtualAllocEx(hProcess,NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);DWORD dwWrited = 0;::WriteProcessMemory(hProcess, (pProcessMem + 0x100), pDllPath,   //先把路径(数据)写到内存里,从0x100开始(wcslen(pDllPath) + 1) * sizeof(WCHAR), &dwWrited);FARPROC pLoadLibraryW = (FARPROC)::GetProcAddress(::GetModuleHandle(L"Kernel32"), "LoadLibraryW");BYTE ShellCode[32] = { 0 };DWORD *pdwAddr = NULL;ShellCode[0] = 0x60; // pushadShellCode[1] = 0x9c; // pushfdShellCode[2] = 0x68; // pushpdwAddr = (DWORD *)&ShellCode[3]; // ShellCode[3/4/5/6]*pdwAddr = (DWORD)(pProcessMem + 0x100);ShellCode[7] = 0xe8;//callpdwAddr = (DWORD *)&ShellCode[8]; // ShellCode[8/9/10/11]*pdwAddr = (DWORD)pLoadLibraryW - ((DWORD)(pProcessMem + 7) + 5 );  // 因为直接call地址了,所以对应机器码需要转换,计算VAShellCode[12] = 0x9d; // popfdShellCode[13] = 0x61; // popadShellCode[14] = 0xe9; // jmppdwAddr = (DWORD *)&ShellCode[15]; // ShellCode[15/16/17/18]*pdwAddr = ct.Eip - ((DWORD)(pProcessMem + 14) + 5);  //因为直接jmp地址了,所以对应机器码需要转换,计算VA::WriteProcessMemory(hProcess, pProcessMem, ShellCode, sizeof(ShellCode), &dwWrited);ct.Eip = (DWORD)pProcessMem;::SetThreadContext(hThread, &ct);::ResumeThread(hThread);::CloseHandle(hProcess);::CloseHandle(hThread);}
int _tmain(int argc, _TCHAR* argv[]){ Test();return 0;
}

相关资源和测试程序:http://download.csdn.net/detail/u013761036/9660423

通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里相关推荐

  1. 【Android 逆向】Android 进程注入工具开发 ( 调试进程中寄存器的作用 | 通过 EIP 寄存器控制程序运行 | EIP 寄存器的存档与恢复 )

    文章目录 一.调试进程中寄存器的作用 二.通过 EIP 寄存器控制程序运行 三.EIP 寄存器的存档与恢复 一.调试进程中寄存器的作用 内存是一个线性结构 , 将动态库加载到内存中后 , 每个动态库文 ...

  2. 32位通用寄存器ESP、EIP、EAX、EBX、ECX、EDX,在OD里操作这些寄存器

    EIP:指向CPU下一步即将执行的指令 I EIP为00401000,表示,CPU下一步到00401000这个地址去执行,下一步执行push 0x0指令 ESP:始终指向堆栈的最顶端 现在的ESP是0 ...

  3. 【Android 逆向】Android 进程注入工具开发 ( EIP 寄存器指向 dlopen 函数 | ESP 寄存器指向栈内存 | 调试程序收回目标进程控制权 )

    文章目录 一.EIP 寄存器指向 dlopen 函数 二.ESP 寄存器指向栈内存 三.调试程序收回目标进程控制权 一.EIP 寄存器指向 dlopen 函数 代码段中 , 一般都有 dlopen 函 ...

  4. 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 远程调用 目标进程中 libc.so 动态库中的 mmap 函数 三 | 等待远程函数执行完毕 | 寄存器获取返回值 )

    文章目录 前言 一.等待远程进程 mmap 函数执行完毕 二.从寄存器中获取进程返回值 三.博客资源 前言 前置博客 : [Android 逆向]Android 进程注入工具开发 ( 注入代码分析 | ...

  5. 【Android 逆向】Android 进程注入工具开发 ( 注入代码分析 | 调试进程 ATTACH 附着目标进程 | 读取目标函数寄存器值并存档 )

    文章目录 一.调试进程 ATTACH 附着目标进程 二.读取目标函数寄存器值并存档 1.主要操作流程 2.ptrace 函数 PTRACE_GETREGS 读取寄存器值 一.调试进程 ATTACH 附 ...

  6. Windows核心编程_修改其它进程里的内存值+示例:修改游戏分数

    最近一直忙于Opencv图像处理方面的学习,以及工作,没有更新C/C++专栏方面的博客了,所以今天就给大家写个应用层方面的编程代码,可用于参考学习,本篇博客将运用WindowsSDK库所提供的API来 ...

  7. IDA保存修改的寄存器值

    1.修改寄存器 --->Hex View--->右键选择:Edit--->修改后:Apply Changed 2.保存 --->Edit--->Patch Program ...

  8. LINUX应用修改硬件寄存器l,郝健: Linux内存管理学习笔记-第2节课【转】

    摘要 slab./proc/slabinfo和slabtop 用户空间malloc/free.内核空间kmalloc/kfee与Buddy的关系 mallopt vmalloc Linux为应用程序分 ...

  9. 拦截锚点修改url_浅谈URL跳转与Webview安全

    学习信息安全技术的过程中,用开阔的眼光看待安全问题会得到不同的结论. 在一次测试中我用Burpsuite搜索了关键词url找到了某处url,测试一下发现waf拦截了指向外域的请求,于是开始尝试绕过.第 ...

最新文章

  1. C盘满了怎么办?如何清理
  2. Android adb命令,linux中各种命令
  3. 重学深度学习系列-回归
  4. 多数据库支持的应用程序设计(来自深空老大)
  5. 0001-Two Sum(两数之和)
  6. 浅谈一下这个所谓的特殊算法——动态规划?
  7. 如何在log4j.properties文件中使用相对路径
  8. c语言中error c2601,C 语言   dd.cpp(46) : error C2601: 'main' : local function definitions are illegal...
  9. C#异步编程看这篇就够了
  10. java中使用kotlin_在Kotlin中使用libGDX
  11. 【渝粤题库】陕西师范大学800004 遥感概论
  12. c 富文本html编辑器,富文本HTML编辑器UEditor
  13. python开发转行做数据分析_转行学IT,Java、Python、大数据选择学哪个发展好?
  14. 数学与算法《TF-IDF》
  15. 关于泊松过程的参数估计
  16. android学习笔记---43_音乐播放器,音频采集,音乐播放,使用SoundPool播放音效
  17. Python入门--集合的创建,set(),{}
  18. Eclipse反编译jad插件安装
  19. vue中axios的post请求url自动带上本地ip解决方法
  20. mysql 不等于 优化_Mysql优化

热门文章

  1. Linux服务器内核参数优化
  2. 《HTML5移动应用开发入门经典》—— 1.1 了解HTML5的由来
  3. 15 个变量和方法命名的最佳实践
  4. linux之vsftpd虚拟用户搭建
  5. 批处理-DHCP绑定IP地址
  6. 刷题练习记录(3)——无重复字符的最长子串(JAVA 和 Python)——set()函数/集合...
  7. Java8 Time
  8. EOS开发基础之五:使用cleos命令行客户端操作EOS——智能合约之Exchange
  9. 用一个栈实现另一个栈的排序
  10. Atitit.js模块化 atiImport 的新特性javascript import