逆向工程核心原理 Chapter27 | 代码注入

最新推荐文章于 2024-09-09 20:38:01 发布
最新推荐文章于 2024-09-09 20:38:01 发布
阅读量288 收藏 7
点赞数 5
分类专栏: 《逆向工程核心原理》 文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ULGANOY/article/details/141926808
版权

代码注入知识点

在这里插入图片描述

代码注入与DLL注入的区别

代码注入和DLL注入的区别在于:我们必须把参数也注入目标进程。

DLL注入不需要考虑参数地址,只需要考虑LPTHREAD_START_ROUTINE的地址和DLL字符串地址,

是因为参数在DLL里面,目标进程加载DLL后会在内存中加载参数。

而代码注入则不行,如果还是像DLL那样硬编码参数,就会内存访问错误。

具体可以看这个例子:

在这里插入图片描述

采用DLL注入后的代码:

在这里插入图片描述

可以看到参数在DLL中是硬编码的。由于DLL可以重定位,所以不会出现内存访问错误。

但换成代码注入就不行。

DLL注入的LPTHREAD_START_ROUTINE传的是LoadLibrary,lParameter传的是DLL字符串地址。

代码注入的LPTHREAD_START_ROUTINE传的是调用代码的地址,lParameter传的是参数数组的地址。

使用代码注入的原因

在这里插入图片描述

练习示例

这里先逆向看看,后面再手写一遍代码。

代码注入的代码部分:

在这里插入图片描述

设置参数部分:在这里插入图片描述

WriteProcessMemoryCreateRemoteThread部分:

在这里插入图片描述

精妙至极!

代码编写

代码有好几个点要注意:

  • typedef int(WINAPI* PFMessageBoxA)

  • pRemoteBuf[1]那儿分配的是待执行的函数,所以要PAGE_EXECUTE_READWRITE

    pRemoteBuf[1] = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

  • ThreadProc大小利用的原理是:

    在这里插入图片描述

    这样更简便一点。

不知道为什么一直注入不了,一运行notepad就退出了。。
(就当学思路+熟悉WinAPI吧( )

#include<tchar.h>
#include<Windows.h>
#include<iostream>
#include<stdlib.h>
#include<stdio.h>

using namespace std;

/*
定义好结构,简化操作
*/
typedef struct _THREAD_PARAMETER {
	FARPROC pFunc[2]; // Func
	char szBuf[4][128]; // Parameter
}THREAD_PARAM, * PTHREAD_PARAM;

// LoadLibraryA
typedef HMODULE(WINAPI* PFLoadLibraryA)(
	LPCSTR lpLibFileName
	);

// GetProcAddress
typedef FARPROC(WINAPI* PFGetProcAddress)(
	HMODULE hModule,
	LPCSTR lpProcName
	);

// MessageBoxA
typedef int(WINAPI* PFMessageBoxA)(
	HWND hWnd,
	LPCSTR lpText,
	LPCSTR lpCaption,
	UINT uType
	);

DWORD WINAPI ThreadProc(LPVOID lParam) {
	PTHREAD_PARAM pParam = (PTHREAD_PARAM)lParam;
	HMODULE hModule = NULL;
	FARPROC pFunc = NULL;

	// LoadLibraryA("user32.dll")
	hModule = ((PFLoadLibraryA)(pParam->pFunc[0]))(pParam->szBuf[0]);

	// GetProcAddress("MessageBoxA")
	pFunc = (FARPROC)((PFGetProcAddress)(pParam->pFunc[1]))(hModule, pParam->szBuf[1]);

	// MessageBoxA(0,text,caption,MB_OK)
	((PFMessageBoxA)pFunc)(NULL, pParam->szBuf[2], pParam->szBuf[3], MB_OK);

	return 0;
}

BOOL InjectCode(DWORD dwPid) {
	HMODULE hModule = NULL;
	THREAD_PARAM param = { 0, };
	HANDLE hProcess = NULL;
	HANDLE hThread = NULL;
	LPVOID pRemoteBuf[2] = { 0, };
	DWORD dwSize = 0;
	
	// 设置参数

	hModule = GetModuleHandleA("kernel32.dll");
	param.pFunc[0] = GetProcAddress(hModule, "LoadLibraryA");
	param.pFunc[1] = GetProcAddress(hModule, "GetProcAddress");
	strcpy_s(param.szBuf[0], "user32.dll");
	strcpy_s(param.szBuf[1], "MessageBoxA");
	strcpy_s(param.szBuf[2], "INJECTED!");
	strcpy_s(param.szBuf[3], "N0zoM1z0");

	// OpenProcess
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
	if (hProcess == NULL) {
		cerr << "Error Finding Process!\nCheck PID\n";
		return FALSE;
	}
	// VirtualAllocEx For Param
	dwSize = sizeof(THREAD_PARAM);
	pRemoteBuf[0] = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);

	// WriteProcessMemory
	BOOL OK = WriteProcessMemory(hProcess, pRemoteBuf[0], (LPVOID)&param, dwSize, NULL);
	if (!OK) {
		cerr << "ERROR WriteProcessMemory!\n";
		return FALSE;
	}
	// VirtualAllocEx For ThreadProc
	dwSize = (DWORD)InjectCode - (DWORD)ThreadProc;
	pRemoteBuf[1] = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	// WriteProcessMemory
	OK = WriteProcessMemory(hProcess, pRemoteBuf[1], (LPVOID)ThreadProc, dwSize, NULL);
	if (!OK) {
		cerr << "ERROR WriteProcessMemory!\n";
		return FALSE;
	}
	// CreateRemoteThread
	hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteBuf[1], pRemoteBuf[0], 0, NULL);
	if (hThread == NULL) {
		cerr << "ERROR CreateRemoteThread!\n";
		return FALSE;
	}
	WaitForSingleObject(hThread, INFINITE);
	CloseHandle(hThread);
	CloseHandle(hProcess);
	cout << "DONE!\n";
	return TRUE;
}

int main(int argc, CHAR* argv[]) {
	if (argc < 2) {
		printf("Usage: %s pid\n", argv[0]);
		return 1;
	}

	DWORD dwPid = (DWORD)atol((LPCSTR)argv[1]);
	cout << "argv[1]: " << argv[1] << "\n";
	cout << "PID: " << dwPid << "\n";
	InjectCode(dwPid);

	return 0;
}

我用作者的源程序也是notepad直接退出(?)

换win7测试一下作者的exe。

好吧,win7可行。。

在这里插入图片描述

然后我自己的在win10的vs上编译,用的vs2022,所以没法兼容win7。。。会报错缺少dll。

高版本Windows和vs的代码注入后面再来看看。

调试

x32dbg设置几个选项就行了,

在这里插入图片描述

N0zoM1z0
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
逆向工程核心原理 Chapter23 | DLL注入
ULGANOY的博客
09-02 1090
逆向工程核心原理第23章学习记录
逆向工程核心原理 Chapter24 | DLL卸载
ULGANOY的博客
09-03 1011
逆向工程核心原理第24章学习记录
Android知识点原理总结
博由心生,福泽一生
05-20 4294
Java Android 总结常用知识点 Activity 4种启动模式 要讲启动模式,先讲讲任务栈Task,它是一种用来放置Activity实例的容器,他是以栈的形式进行盛放,也就是所谓的先进后出,主要有2个基本操作:压栈和出栈,其所存放的Activity是不支持重新排序的,只能根据压栈和出栈操作更改Activity的顺序。 启动一个Application的时候,系统会为它默认创建一个对应的...
翻译: 深入神经网络概览Dive into Deep Learning
AI架构师易筋
03-07 3384
1. 简介 直到最近,我们每天与之交互的几乎所有计算机程序都是由软件开发人员根据第一原理编码的。假设我们想编写一个应用程序来管理一个电子商务平台。在围着白板花了几个小时思考这个问题之后,我们会想出一个可行的解决方案的大致思路,可能看起来像这样: (i) 用户通过在 Web 浏览器中运行的界面与应用程序交互或移动应用程序; (ii) 我们的应用程序与商业级数据库引擎交互,以跟踪每个用户的状态并维护历史交易记录; (iii) 在我们应用程序的核心,业务逻辑(你可能会说,大脑) 我们的应用程序有条不紊地详细说明
英语教学系列之雅思词汇篇V1.1(持续更新)
热门推荐
欢迎!欢迎来到17号城市!
06-23 16万+
按场景记忆是最高效的,这里给出的音标全部是英氏。 跟你没有相关性的表达你也要记下来, 不仅可以用在听力、阅读、写作, 还因为在雅思口语PART 3中可能会问一些分类讨论的话题, 不仅仅只说自己的情况。
android获取apk名称_Android安全知识笔记合集
weixin_39992462的博客
10-21 237
作者:MrGeekr极氪反编译反编译代码dex2jar 这个工具用于将dex文件转换成jar文件jd-gui 这个工具用于将jar文件转换成java代码 ,使用jd-gui工具打开classes-dex2jar.jar这个文件就能查看Java代码反编译资源apktool 这个工具用于最大幅度地还原APK文件中的9-patch图片、布局、字符串等等一系列的资源。没有反编译资源之前,AndroidMa...
剖析虚幻渲染体系(15)- XR专题
虚幻私塾
06-09 2974
目录* 15.1 本篇概述 + 15.1.1 本篇内容 + 15.1.2 XR概念 - 15.1.2.1 VR - 15.1.2.2 AR - 15.1.2.3 MR - 15.1.2.4 XR + 15.1.3 XR综述 + 15.1.4 XR生态 + 15.1.5 XR应用虚拟现实(VR)因伊万·萨瑟兰(Ivan Sutherland)在20世纪60年代的工作而广受赞誉。在过去的50年里,虚拟现实技术的普及程度上下波动。特别是,近年来,虚拟现实在虚拟现实及其对应产品增强现实(AR)方面的投资吸引了许多科
Android安全知识笔记合集
twistfatey的博客
12-07 291
反编译 反编译代码 dex2jar 这个工具用于将dex文件转换成jar文件 jd-gui 这个工具用于将jar文件转换成java代码 ,使用jd-gui工具打开classes-dex2jar.jar这个文件就能查看Java代码 反编译资源 apktool 这个工具用于最大幅度地还原APK文件中的9-patch图片、布局、字符串等等一系列的资源。 没有反编译资源之前,AndroidMani...
chapter12_wine.rar_KPCA_KPCA的MATLAB代码_chapter12 wine.mat_wine
07-14
KPCA用于葡萄酒分类的测试代码 对于葡萄酒标签进行分类
PHP和MySQL Web开发第4版 源代码 补齐Chapter02/Chapter03
09-08
- Chapter 27 可能探讨了错误报告和调试技巧,这对于解决程序中的问题至关重要。 - Chapter 28、31和33可能是关于更高级的数据库操作、性能优化或者特定主题的深入探讨,如存储引擎的选择、索引优化或高级查询技术。...
编译原理chapter1.ppt
03-27
编译原理
编译原理chapter2.ppt
03-27
编译
保险学原理chapter7.pptx
10-01
保险学原理chapter7.pptx
ConfigurationProperties配置报黄、无描述的问题
JustryDeng
09-09 563
ConfigurationProperties美化配置
C++】_list常用方法解析及模拟实现
Become Mad的博客
09-09 604
学习了string和vector,我们现在来学习list。它和string与vector不一样的地方就是它在物理上不是连续的,所以迭代器部分是要更加复杂的。
(七十二)第 10 章 内部排序(基数排序)
最新发布
墨夜白
09-09 55
基数排序算法相关算法实现
数据结构之线性表
m0_64148419的博客
09-09 804
数据结构线性表的基本概念以及基本操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值