分析注入代码的两种方法

最新推荐文章于 2022-09-28 18:38:40 发布
最新推荐文章于 2022-09-28 18:38:40 发布
阅读量595 收藏 1
点赞数
分类专栏: 逆向分析 文章标签: 注入 调试 ResumeThread CreateRemoteThread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/died2369/article/details/51200224
版权

一、dump法(适用于比较完整的注入)

对于比较基础的注入方法:

WriteProcessMemory...WriteProcessMemory...CreateRemoteThread

可以用WinHex新建一个文件,每次调用WriteProcessMemory的时候,都将buffer中的二进制数据拼接在WinHex中。

最后保存下来,通常都是一个可执行程序


二、实时调试

功能介绍:OD——选项——实时调试设置,设置完成后对于新创建的进程,OD会开启另一个实例自动进行附加

不论是哪种注入方式,想要实时调试就一定要知道startAddress,获取startAddress的两种方法:

a. 如果是CreateRemoteThread,第四个参数LPTHREAD_START_ROUTINE lpStartAddress

b. 如果是通过SuspendThread,ResumeThread,那么就一定会修改线程上下文的eip。SetThreadContext,传入的参数就是结构体pContext

    startAddress = pContext + 0xB0(B0是eip的偏移位置,XP有效,其他高版本操作系统可能会有变化)


知道startAddress后就三种方法可以实时调试:

a. 在WriteProcessMemory时,先修改startAddress为 0xCC(int3),开启实时调试,F8执行运行线程的语句

b. 在WriteProcessMemory时,先修改startAddress为 FE EB(无限循环当前指令),开启实时调试,F8执行运行线程的语句

c. 不开启实时调试,直接F4来到运行远程线程的语句,手动打开另一个OD,附加到目标进程,Ctrl+F9到startAddress,下断点(此时目标程序是暂停的)

    F8执行运行远程线程的语句,F9运行目标进程,自动来到startAddress处



fernando_fox
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码注入的三种方法(中英文合集)
05-11
代码注入code injection必看
代码注入的三种方法
zorro668的专栏
10-18 771
代码注入的三种方法作者:Robert Kuster编译:VCKBASE 原文出处:Three Ways to Inject Your Code into Another Process下载源代码http://www.vckbase.com/document/viewdoc/?id=1886#CreateRemoteThread_和_LoadLib
SQL注入代码分析
weixin_30650039的博客
05-03 151
仔细看了下dvwa里面的sql注入,对此加以分析,为什么会导致该问题。 以下代码是安全性最低的,且看下: <?php if(isset($_GET['Submit'])){ // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_...
汇编代码注入器,支持x64和x86
最新发布
04-04
本文将围绕这个主题,详细讲解汇编代码注入器的原理、工作方式以及如何针对x64和x86两种架构进行操作。 一、汇编代码注入器概述 汇编代码注入器的核心在于动态地修改目标进程的内存,将自定义的汇编指令序列嵌入...
sql.rar_sql注入_恶意代码
09-19
标签"sql注入"和"恶意代码"提醒我们关注两方面:一是预防SQL注入,二是处理已存在的恶意代码。预防SQL注入方法包括: 1. 使用参数化查询或存储过程,避免直接拼接SQL语句。 2. 对用户输入进行严格的验证和清理,...
SQL Injection with MySQL 注入分析
09-14
如上述内容所述,有两种常见的SQL查询格式: 1. 使用单引号包围变量: ```sql SELECT * FROM article WHERE articleid='$id' ``` 这种情况下,如果$id包含恶意SQL代码,它会被当作字符串处理,无法执行。 2. ...
病毒藏身方法之一:代码注入.rar
10-14
每种方法都有其独特性和复杂性,需要特定的防护措施。 6. **安全防范**:防止代码注入的关键在于加强系统的安全防护,如安装最新的安全补丁,使用信誉良好的防病毒软件,限制不必要的进程权限,以及保持良好的网络...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞可以分为两种类型:反射型 XXE 和存储型 XXE。反射型 XXE 是指攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息,而存储型 XXE 是指攻击者可以通过构造特殊的 XML 实体来存储恶意数据在...
OD+CE+代码注入
11-04
Cheat Engine 中文版(CE游戏修改器) OllyDBG_1.10 ollyice WG开发人员必备的优良工具!
动态分析技巧--代码注入
本人随手记录,内容只是个人看懂程度,对内容有任何疑问请勿打扰
07-15 359
测试apk下载 一 用apktool对apk进行反编译 apktool d app-release.apk -o out 之后对反汇编代码进行分析 # virtual methods .method public onClick(Landroid/view/View;)V .locals 3 .line 34 iget-object p1, p0, Lcom/droider/checksn/MainActivity$1;->this$0:Lcom/droider/checks
使用hex编码绕过主机卫士IIS版本继续注入
大方子
09-02 1143
本文作者:非主流 测试文件的源码如下:   我们先直接加上单引号试试: http://192.168.0.20/conn.asp?id=1%27 很好,没有报错。那我们继续,and 1=1 和and 1=2,被拦截了。这个时候,我们可以看看到底是什么规则,发现每一个单独提交都不被拦截,组合到一起便被拦截了,好,那我们变通一下,用+代替空格 不再被拦截,Gogogo。 ht...
常用手工注入语句
ONS_cukuyo的博客
09-17 1200
以下内容的来源忘了,仅做转载当作笔记,侵删 Sql常用手工注入语句 and exists(select * from sysobjects) //判断是否是MSSQL and exists(select * from tableName) //判断某表是否存在..tableName为表名 and 1=(select @@VERSION) //MSSQL版本 and 1=(select d...
mysql手动注入的命令_手动SQL注入基础详解
weixin_39778668的博客
02-04 256
Sql Injection漏洞一直是在owasp排名第一的漏洞类型,有时候注入漏洞很难通过工具检测到.本文将详细介绍一下Sql Injection的各种类型,通过利用测试的环境,让大家对Sql Injection漏洞有比较多的了解.什么是sql injection漏洞?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗数据库服务器执行恶意的SQL...
[免费专栏] Android安全之利用JDB调试Android应用程序(动态代码注入技术)
橙留香Park的博客
08-08 947
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Day 3 学习代码注入技术
neuisf的博客
09-28 401
代码注入,MessageBoxA的第一个参数压入栈,此时,eax是MessageBoxA函数的地址。此处有一个技巧:在call address1 指令执行时,会将下一个地址(ReverseCore字符串的地址)作为下一条指令的地址(函数返回地址)压入栈,实际上是将MessageBoxA的第三个参数压入了栈。
Spring系列之依赖注入---手动注入
azhou的代码园
04-23 1104
本文内容 主要介绍xml中依赖注入的配置 构造器注入的3种方式详解 set方法注入详解 注入容器中的其他bean的2种方式 其他常见类型注入详解 依赖回顾 通常情况下,系统中类和类之间是有依赖关系的,如果一个类对外提供的功能需要通过调用其他类的方法来实现的时候,说明这两个类之间存在依赖关系,如: publicclassUserService{ publicvoidinsert(UserModelmodel){ //插入...
14. OD-inline patch入门,将一段代码和变量分别注入一个程序中
墨痕诉清风的博客
03-03 686
分析程序情况 第一次进入call为neg 第二次进入call为主程序 第三次退出程序进入call为neg 这个跳转如果改为jmp,那么主程序也没有了 那么我们可以试想写一段C程序做判断 int i = 0; for (i=0; i&lt;3; ++i) { if (i == 2) 不跳转 else 跳转 } 寻找PE头,双击数据 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值