R3修改线程上下文EIP实现的无模块注入

最新推荐文章于 2022-07-18 17:27:41 发布
最新推荐文章于 2022-07-18 17:27:41 发布
阅读量786 收藏 3
点赞数
分类专栏: windows驱动

R3修改线程上下文EIP实现的无模块注入

http://blog.csdn.net/zfdyq0/article/details/40890521


[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. #include "stdafx.h"  
  2. #include <windows.h>  
  3. #include <iostream>  
  4. using std::cin;  
  5.   
  6. DWORD dwOldEip = 0;  
  7. DWORD funRemote = 0;  
  8.   
  9. BYTE shellCode[25] = {  
  10.         0x68, 0x78, 0x56, 0x34, 0x12,                                //push        12345678h  
  11.         0x9C,                                                                                //pushfd  
  12.         0x60,                                                                                //pushad  
  13.         0x6A, 0x00,                                                                        //push        0  
  14.         0x6A, 0x00,                                                                        //push        0  
  15.         0x6A, 0x00,                                                                        //push        0  
  16.         0x6A, 0x00,                                                                        //push        0  
  17.         0xB8, 0x78, 0x56, 0x34, 0x12,                                //mov         eax, 12345678h  
  18.         0xFF, 0xD0,                                                                        //call        eax  
  19.         0x61,                                                                                //popad  
  20.         0x9D,                                                                                //popfd  
  21.         0xC3,                                                                                //ret  
  22. };  
  23.   
  24.   
  25. BOOL ThreadContextTest(DWORD dwProcessId, DWORD dwMemSize)  
  26. {  
  27.         HWND hwnd = FindWindow(NULL, L"Dependency Walker");  
  28.         if (!hwnd)  
  29.                 return FALSE;  
  30.         printf("hwnd:%p\n", hwnd);  
  31.   
  32.         // 打开进程  
  33.         HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);  
  34.         if (!hProcess)  
  35.                 return FALSE;  
  36.   
  37.         // 获取主线程ID  
  38.         DWORD dwThreadId = GetWindowThreadProcessId(hwnd, NULL);  
  39.         printf("dwThreadId:%d\n", dwThreadId);  
  40.   
  41.         HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, dwThreadId);  
  42.         // 暂停主线程  
  43.         DWORD dwSuspendCount = SuspendThread(hThread);  
  44.         printf("暂停线程,任意键恢复线程,dwSuspendCount:%d\n", dwSuspendCount);  
  45.         CONTEXT stcContext = { CONTEXT_FULL };  
  46.         if (!GetThreadContext(hThread, &stcContext))  
  47.                 return FALSE;  
  48.   
  49.         HMODULE hModule = LoadLibrary(L"User32.dll");  
  50.         funRemote = (DWORD)GetProcAddress(hModule, "MessageBoxA");  
  51.         // 获取原始EIP  
  52.         dwOldEip = stcContext.Eip;  
  53.         printf("stcContext.Eip:%p\n", stcContext.Eip);  
  54.   
  55.         // 申请内存  
  56.         LPVOID lpAddr = VirtualAllocEx(hProcess, NULL, dwMemSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);  
  57.         if (!lpAddr)  
  58.                 return FALSE;  
  59.   
  60.         printf("lpAddr:%p\n", lpAddr);  
  61.   
  62.         // 构造shellCode  
  63.         memcpy(&shellCode[16], &funRemote, 4);  
  64.         memcpy(&shellCode[1], &dwOldEip, 4);  
  65.   
  66.         // 写入内存  
  67.         BOOL bRet = WriteProcessMemory(hProcess, lpAddr, shellCode, dwMemSize, NULL);  
  68.         if (!bRet)  
  69.                 return FALSE;  
  70.   
  71.           
  72.         // 设置EIP  
  73.         stcContext.Eip = (DWORD)lpAddr;  
  74.         SetThreadContext(hThread, &stcContext);  
  75.   
  76.   
  77.         //system("pause");  
  78.   
  79.         DWORD dwResumeCount = ResumeThread(hThread);  
  80.         printf("恢复线程,dwResumeCount:%d\n", dwResumeCount);  
  81.   
  82.         return TRUE;  
  83. }  
  84.   
  85. int _tmain(int argc, _TCHAR* argv[])  
  86. {  
  87.         DWORD dwLen = sizeof(shellCode);  
  88.         DWORD dwProcessId = 0;  
  89.         cin >> dwProcessId;  
  90.   
  91.         ThreadContextTest(dwProcessId, dwLen);  
  92.   
  93.         system("pause");  
  94.         return 0;  
  95. }  

我把执行的代码写成了ShellCode,就是弹一个 MessageBox,但是前面一句和最后一句是重点,第一句是把当前EIP 压栈,最后的RET就是

返回到正确EIP  这个是必须有的,在这里RET指令的内部操作是:栈顶字单元出栈,其值赋给IP寄存器。即实现了一个程序的转移,将栈顶字单元保存

的偏移地址作为下一条指令的偏移地址。

        当然也可以把你自己的执行代码写成函数,遇到的问题就是计算函数的大小,一般方法就是搜索特征码Ret(高老湿说滴),然后特征码地址减

去,函数地址,就是大小~~

由于EIP必须在运行的时候才能得到,所以我把获得的EIP直接MEMCOPY到相应shellCode位置。

运行结果:



天经地义之经
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++驱动模块注入代码
12-10
驱动模块注入代码
驱动模块注入dll
鬼手的博客
12-10 8669
Windows驱动模块注入姿势全解 包含三环和零环的多种注入方式
隐藏模块(无模块注入
weixin_41875267的博客
09-09 1035
模块隐藏那节课要求完成两个作业,都是隐藏模块,本文介绍两种方法分别如何实现。 方法一:往自己的进程注入游戏主模块 这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位表了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大...
源码解析DLL自卸载无模块注入
燕十二的BLOG
11-14 6037
对windows安全比较熟悉的同学对模块注入应该都比较了解,很多病毒、木马、外挂都会用到,无模块注入应用得则比较少。      无模块注入的好处是DLL注入进去后,确实已经不以模块的形式存在了,用任何进程模块查看工具,都找不到注入进去的DLL。因为它已经变为一块纯堆内存,跟EXE主模块里申请的堆没有任何差别。      这里讲的一种无模块注入的方法,能够让DLL自身实现这样的功能,无需外部
驱动DLL注入,APC注入驱动回调注入实现详细流程及代码!
QQ1289671197的博客
10-16 5209
DLL注入有很多方法,远线程,钩子,输入法,劫持,APC等等。 现在的好多进程都有保护,特别是一些游戏有各种保护如TP TS HS NP CD GPK BE SG3等等保护,这样常规的注入方法就没效果了。 现在流行且稳定的注入方法一般都要用驱动实现了,驱动注入,APC,回调等都可以用驱动注入驱动部分代码: #include "apc_inject_test.h" #include "asm_...
易语言源码易语言线程EIP注入卸载DLL源码.rar
02-21
易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP...
易语言线程EIP注入卸载DLL
07-22
易语言线程EIP注入卸载DLL源码,线程EIP注入卸载DLL,打开线程,原_按钮2_被单击,线程EIP注入,取进线程ID,卸载DLL,GetThreadContext,SetThreadContext,打开进程_,OpenThread,关闭内核对象_,取进程线程标识符_,...
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
10-21
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
易语言线程EIP注入卸载DLL源码-易语言
06-13
易语言线程EIP注入卸载DLL源码
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
驱动级dll注入源码
06-06
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流
驱动注入
01-07
驱动注入器,可以修改某些不可描述的东西,具体你懂得
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
无痕驱动读写注入EAC BE
qq_20077197的博客
05-13 5316
无痕驱动读写注入
控制x86汇编指令eip的方法
Android系统攻城狮
03-07 1397
1、控制eip能够做什么 一般而言,作为pwn手小白,最希望的就是控制eip了,而控制eip究竟能做什么呢? 控制eip,相当于就控制了程序的执行流程,从而获得了程序的最高权限,甚至能够绕过操作系统上的安全限制,直接获取用户shell或进行破坏性操作。 而如果我们能够控制ctf题目中的eip,我们会进行怎样的操作呢? 如果程序有shell地址,直接跳转至shell地址处,获得shell ...
绕开驱动层检测的无痕注入
陈子青的博客
07-18 1324
搜了标题相关的文章既然没有?想要源码可私信~~~
欧姆龙eip21通信模块设置
最新发布
09-08
欧姆龙EIP21通信模块是一种可用于欧姆龙PLC及其他设备之间的通信模块。下面是关于如何设置欧姆龙EIP21通信模块的步骤: ...通过正确设置,EIP21通信模块可以帮助您实现PLC与其他设备之间的可靠通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值