blackbone 内存库的使用

最新推荐文章于 2023-05-19 21:39:51 发布
最新推荐文章于 2023-05-19 21:39:51 发布
阅读量5.4k 收藏 5
点赞数 2
分类专栏: 三方库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly1390811049/article/details/104066751
版权

该库与qt一起使用时 emit 函数会重名报错,可以将blackbone 中的3rd_party\AsmJit\base\assembler emit 函数重命名成emitInstruction

 

blackbone Process中的附加并不是附加调试器进行调试而是打开进程

#include <Process/Process.h>

1.根据进程名枚举所有进程id

std::vector<DWORD> vecPid = blackbone::Process::EnumByName(L"dfo.exe");

 

2.根据进程id或者进程名枚举进程信息

	blackbone::call_result_t<std::vector<blackbone::ProcessInfo>> processResult = blackbone::Process::EnumByNameOrPID(11868, L"");

	for (auto processInfo : processResult.result())
	{
		qDebug() << processInfo.imageName << processInfo.pid << processInfo.threads.size();
	}

 

3.枚举所有进程

	blackbone::call_result_t<std::vector<blackbone::ProcessInfo>> processResult = blackbone::Process::EnumByNameOrPID(0, L"");

	for (auto processInfo : processResult.result())
	{
		qDebug() << processInfo.imageName << processInfo.pid << processInfo.threads.size();
	}

4.附加一个进程

	blackbone::Process process;
	std::vector<DWORD> vecPid = blackbone::Process::EnumByName(L"32位.exe");
	// 附加一个进程
	if (!vecPid.empty() && NT_SUCCESS(process.Attach(vecPid.front())))
	{
		blackbone::ProcessCore& processCore = process.core();

		// 进程wow64信息
		blackbone::Wow64Barrier barrier = process.barrier();

		// 获取进程id和进程句柄
		DWORD dwPid = processCore.pid();
		HANDLE handle = processCore.handle();

		// 获取进程PEB
		blackbone::PEB_T peb = { };
		blackbone::ptr_t ptrPEB = processCore.peb(&peb);

		// 获取进程的所有句柄
		for (blackbone::HandleInfo handleInfo : process.EnumHandles().result())
		{
			qDebug() << handleInfo.name << handleInfo.handle << handleInfo.typeName;
		}
	}

5.启动并附加进程

	blackbone::Process process;
	//启动并附加进程
	process.CreateAndAttach(L"G:\\辅助工具\\PEview.exe", true);
	{
		//恢复进程
		process.Resume();
		//延迟100毫秒
		std::this_thread::sleep_for(std::chrono::milliseconds(100));
	}

6.进程模块管理

	blackbone::Process process;
	if (NT_SUCCESS(process.Attach(L"PEview.exe")))
	{
		//模块管理
		blackbone::ProcessModules& processModules = process.modules();
		//获取所有模块包括x86和x64模块
		const blackbone::ProcessModules::mapModules& mapModules = processModules.GetAllModules();
		//获取主模块
		blackbone::ModuleDataPtr mainModule = processModules.GetMainModule();
		//主模块基地址
		blackbone::module_t baseAddress = mainModule->baseAddress;
		//获取导出函数地址
		blackbone::call_result_t<blackbone::exportData> exportFunAddr = processModules.GetExport(L"kernel32.dll", "LoadLibraryW");
		if (exportFunAddr.success())
		{
			qDebug() << "LoadLibraryW" << exportFunAddr->procAddress;
		}
		//模块断链
		if (processModules.Unlink(mainModule))
		{
		}
	}

7.进程内存管理

	blackbone::Process process;
	if (NT_SUCCESS(process.Attach(L"PEview.exe")))
	{
		//操作内存类
		blackbone::ProcessMemory& memory = process.memory();
		//主模块
		blackbone::ModuleDataPtr mainModulePtr = process.modules().GetMainModule();
		//PE头信息
		IMAGE_DOS_HEADER dosHeader = { };
		//读取内存,模块的开始信息是PE头信息
		memory.Read(mainModulePtr->baseAddress, dosHeader);
		memory.Read(mainModulePtr->baseAddress, sizeof(dosHeader), &dosHeader);
		blackbone::call_result_t<IMAGE_DOS_HEADER> dosHeaderResult = memory.Read<IMAGE_DOS_HEADER>(mainModulePtr->baseAddress);

		// 改变内存读写属性
		if (NT_SUCCESS(memory.Protect(mainModulePtr->baseAddress, sizeof(dosHeader), PAGE_READWRITE)))
		{
			//写内存
			memory.Write(mainModulePtr->baseAddress, dosHeader);
			memory.Write(mainModulePtr->baseAddress, sizeof(dosHeader), &dosHeader);
		}

		// 分配内存
		blackbone::call_result_t<blackbone::MemBlock> memBlockResult = memory.Allocate(0x1000, PAGE_EXECUTE_READWRITE);
		if (memBlockResult.success())
		{
			//写内存
			memBlockResult->Write(0x10, 12.0);
			//读内存
			memBlockResult->Read<double>(0x10, 0.0);
		}
		// 枚举有效的内存区域
		std::vector<MEMORY_BASIC_INFORMATION64> regions = memory.EnumRegions();
	}

8.进程线程管理

	blackbone::Process process;
	if (NT_SUCCESS(process.Attach(L"PEview.exe")))
	{
		// 枚举所有线程
		std::vector<blackbone::ThreadPtr> vecThreadPtr = process.threads().getAll();
		//获取主线程
		blackbone::ThreadPtr mainThreadPtr = process.threads().getMain();
		//根据线程id获取线程信息
		blackbone::ThreadPtr threadPtr = process.threads().get(mainThreadPtr->id());
		// 获取线程上下文
		blackbone::CONTEXT_T ctx = { };
		if (threadPtr->GetContext(ctx, CONTEXT_FLOATING_POINT))
		{
			//设置线程上下文
			threadPtr->SetContext(ctx);
		}
		// 等待线程退出
		threadPtr->Join(100);
	}

9.JIT汇编(即时汇编)

	blackbone::AsmHelperPtr asmPtr = blackbone::AsmFactory::GetAssembler();
	blackbone::IAsmHelper& a = *asmPtr;
	//生成函数代码
	a.GenPrologue();
	a->add(a->zcx, a->zdx);
	a->mov(a->zax, a->zcx);
	a.GenEpilogue();
	auto func = reinterpret_cast<uintptr_t(__fastcall*)(uintptr_t, uintptr_t)>(a->make());
	uintptr_t r = func(10, 5);

10.远程代码执行

	blackbone::Process process;
	if (NT_SUCCESS(process.Attach(L"PEview.exe")))
	{
		//远程执行
		blackbone::RemoteExec& remoteExe = process.remote();
		//创建远程执行环境
		remoteExe.CreateRPCEnvironment(blackbone::Worker_None, true);
		//获取导出函数地址
		blackbone::call_result_t<blackbone::exportData> GetModuleHandleWPtr = process.modules().GetExport(L"kernel32.dll", "GetModuleHandleW");
		if (GetModuleHandleWPtr.success())
		{
			//使用指定的入口点和参数创建新线程
			DWORD mod = remoteExe.ExecDirect(GetModuleHandleWPtr->procAddress, 0);

			blackbone::AsmHelperPtr asmPtr = blackbone::AsmFactory::GetAssembler();
			if (asmPtr)
			{
				blackbone::IAsmHelper& asmHelper = *asmPtr;
				asmHelper.GenPrologue();
				asmHelper.GenCall(static_cast<uintptr_t>(GetModuleHandleWPtr->procAddress), { nullptr }, blackbone::cc_stdcall);
				asmHelper.GenEpilogue();
				uint64_t result = 0;
				//创建新线程并在其中执行代码。 等待执行结束
				remoteExe.ExecInNewThread(asmHelper->make(), asmHelper->getCodeSize(), result);
			}

			//在主线程执行
			blackbone::ThreadPtr mainThreadPtr = process.threads().getMain();
			blackbone::AsmHelperPtr asmHelperPtr = blackbone::AsmFactory::GetAssembler();
			if (asmHelperPtr)
			{
				blackbone::IAsmHelper& asmHelper = *asmHelperPtr;
				asmHelper.GenPrologue();
				asmHelper.GenCall(static_cast<uintptr_t>(GetModuleHandleWPtr->procAddress), { nullptr }, blackbone::cc_stdcall);
				asmHelper.GenEpilogue();

				uint64_t result = 0;
				remoteExe.ExecInAnyThread(asmHelper->make(), asmHelper->getCodeSize(), result, mainThreadPtr);
			}
		}
	}

11.内存搜索匹配

#include <Patterns/PatternSearch.h>

	blackbone::Process process;
	if (NT_SUCCESS(process.Attach(L"PEview.exe")))
	{
		//匹配模版
		blackbone::PatternSearch ps{ 1, 2, 3, 4, 5, 6, 7, 8, 9, 0 };
		//搜索结果
		std::vector<blackbone::ptr_t> results;
		//内存搜索
		ps.SearchRemoteWhole(process, false, 0, results);
	}

12.远程函数调用

#include <Process/RPC/RemoteFunction.hpp>

	blackbone::Process process;
	if (NT_SUCCESS(process.Attach(L"PEview.exe")))
	{
		// 简单直接调用
		//获取远程函数对象
		blackbone::RemoteFunction<decltype(&MessageBoxW)> pMessageBoxW = 
			blackbone::MakeRemoteFunction<decltype(&MessageBoxW)>(process, L"user32.dll", "MessageBoxW");
		if (pMessageBoxW.valid())
		{
			//远程调用
			auto result = pMessageBoxW(HWND_DESKTOP, L"Hello world!", L"Title", MB_OKCANCEL);
			if (*result == IDCANCEL)
			{
			}
		}

		// 使用特定线程调用
		auto mainThread = process.threads().getMain();
		if (auto pIsGUIThread = blackbone::MakeRemoteFunction<decltype(&IsGUIThread)>(process, L"user32.dll", "IsGUIThread"); pIsGUIThread && mainThread)
		{
			auto result = pIsGUIThread.Call({ FALSE }, mainThread);
			if (*result)
			{
			}
		}

		// 给定参数调用
		if (auto pMultiByteToWideChar = blackbone::MakeRemoteFunction<decltype(&MultiByteToWideChar)>(process, L"kernel32.dll", "MultiByteToWideChar"))
		{
			auto args = pMultiByteToWideChar.MakeArguments({ CP_ACP, 0, "Sample text", -1, nullptr, 0 });
			std::wstring converted(32, L'\0');

			// Set buffer pointer and size manually
			args.set(4, blackbone::AsmVariant(converted.data(), converted.size() * sizeof(wchar_t)));
			args.set(5, converted.size());

			auto length = pMultiByteToWideChar.Call(args);
			if (length)
				converted.resize(*length - 1);
		}
	}

13.手动映射文件(参数)

    MapCalcFromFile();
    MapCmdFromMem();

 

1390811049
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Xenos.zip_"blackbone" 使用_FileUtil.cpp:452:_Xenos 注入 使用_dll注入_saf
09-21
基于Blackbone开发的一个dll注入工具.
Blackbone, Windows 内存黑客.zip
09-18
Blackbone, Windows 内存黑客 Blackbone Windows 内存黑客特性x86和x64支持过程交互管理 peb32/peb64通过WOW64屏障管理进程进程内存分配和释放虚拟内存更改内存保护读取/写入虚拟内存过程模块枚举加
backbone 源码+API
08-07
backbone 源码+API 最新1.0版本。官文提供的API。
ASMHelper:Minecraft mod中用于ASM转换的帮助器类
05-23
ASM助手 一个功能,可帮助Minecraft mods中的ASM转换 在Forge> 1.14的情况下,现在可以用Javascript实现 。 该分支是ASMHelper从Java到Javascript的移植,以便更轻松地将使用ASMHelper的mod移植到1.14+。 要使用Javascript版本,请将放入mod的resources目录中,并将其加载到您的initializeCoreMods函数中,如下所示: function initializeCoreMod ( ) { Java . type ( "net.minecraftforge.coremod.api.ASMAPI" ) . loadFile ( "path/to/asmhelper.js" ) ; // ASMHelper is now an object in the global name
Beaglebone与FPGA通信的驱动程序,基于GPMC方式
10-30
这个驱动程序是Beaglebone与FPGA通讯的程序,基于GPMC方式。 原作者是chenzhufly。
最强黑客Blackbone使用教程
热门推荐
鬼手的博客
01-14 1万+
最强黑客Blackbone揭秘
[Windows驱动开发]-BlackBone实现内存读取的三种方式
最新发布
kinghzking的专栏
05-19 990
参数 lpBaseAddress 的类型是LPVOID,对于32位程序,该值只有4字节,读取64位进程就只能看运气了,如果地址大于4字节,读取的结果是错的(也可能直接失败)。比如,我们读取64位的chrome进程,由于chrome.exe模块地址0x13F630000大于4字节,ReadProcessMemory显示错误的内容。驱动一直没有系统的学习过,每次用到的时候总得折腾下安装环境,现在整理下,避免以后再各种查资料。之前的项目,为了节省项目空间,lib和dll等都未提交到git上,这次补上了,包含。
[Windows驱动开发] BlackBone介绍
kinghzking的专栏
12-04 706
blackbone 介绍
win10 完全卸载 小黑笔记本
qq_39398270的博客
11-06 1419
有人说,小黑笔记本很强。 但是近几个版本就是一款流氓软件。 更种隐式捆绑,插件广告,让用户烦不胜烦! heinote 小黑 1.注册表删除 regedit 在键盘上按下“win+r”进入运行对话框 1.计算机\HKEY_CURRENT_USER 文件夹下 shift 切换 英文格式 按H 找到 heinote开头的文件格式,全部删除 2.计算机\HKEY_CURRENT_USER\SOFTWARE shift 切换 英文格式 按H 找到 heinote开头的文件格式,全部删除 2.快捷方
BlackBone:我和朋友inc-Majdev一起做过
02-14
黑骨 Windows内存黑客 特征 x86和x64支持 流程互动 管理PEB32 / PEB64 通过WOW64障碍管理流程 进程记忆 分配和释放虚拟内存 更改内存保护 读/写虚拟内存 Craft.io模块 枚举所有已加载的(32/64位)模块。 使用装入程序列表/部分对象/ PE标头方法枚举模块。 获取导出的功能地址 获取主模块 从加载器列表取消链接模块 插入和弹出模块(包括纯IL图像) 将64位模块注入WOW64进程 手动映射本机PE图像 线程数 枚举线程 创建和终止线程。 支持跨会话线程创建。 获取线程退出代码 获取主线程 管理TEB32 / TEB64 连接线程 挂起和恢复线程 设置/删除硬件断点 模式搜索 在本地或远程过程中搜索任意模式 远程执行代码 在远程过程中执行功能 汇编自己的代码并远程执行 支持cdecl / stdcall / thiscall / fast
BackboneJS教程(全套教程 超清版)
06-24
从国外某大牛处整理的全套backboneJS教程,包含BackboneJS的Moel、Collection、View、Router、Event的详细介绍,有大量示例代码。不足是文档是英文版,但是很容易读懂...
自制u盘偷猎者源码分享
SharenFish的博客
11-30 506
本人自制软件, 在本站发过2次更新, 现在不再打算维护, 因此开源. 本帖可能会更新一些技术实现的细节, 不再作为发布贴 使用技术: 线程注入 内存搜索 apihook 工程目录如下 blackbone是外部, 不在源码中包含, 请在github上自行下载配置 Blackbone,Windows 內存黑客庫,下載Blackbone的源碼_GitHub_開發99 (kaifa99.com) 由于dll要注入到explorer, 为方便调试写了debug tool(运行会加载dll, 辅助调试) inject
R0注入Dll到R3进程
被遗弃的庸才博客
12-14 2003
代码大部分都是CV(ctrl c+ctrl v)的(读书人的事情不能说抄是借鉴),注入参考的是Blackbone的代码,然后稍微改了改,经过测试能够分别注入x32和x64的进程,下面是代码。 原理也很简单,首先是附加到目标进程,获得目标进程的LdrLoadDll函数地址,申请地址空间构造函数call(x32和x64是分布进行构造的),之后获得ssdt表的NtCreateThreadEx启动构造的...
C++一行代码实现任意系统函数Hook!
QcloudCommunity的博客
07-21 1338
导语|一句话实现系统API的Hook,参数记录以及数据过滤与修改,关注敏感数据本身而不是哪个API的哪个参数可能有敏感的需要处理的信息,写工具的时候想到上述能力可以借助模板实现,赶紧尝试了一下,也做个笔记分享供大家学习。一、AnyCall(一)背景一般来说所有ApiHook都会需要提供一个与被HookApi相似/相同的Myxxx函数以实现参数访问,这里以BlackB...
BlackBone工具集合:注入、hook、驱动程序
zz_strive_2012的专栏
12-09 4917
FF_BlackBone介绍 作为Windows开发人员,经常遇到枚举进程、枚举模块、读写进程内存的操作;Windows安全开发人员更是会涉及注入、hook、操作PE文件、编写驱动。每次都要翻各种资料制造轮子,那么有没有好的开源解决这个问题呢,目前知道的就Blackbone了,而且它的代码写的很好,完全可以作为教科书来用。 PS:作者DarthTon在github上的头像很有意思,就粘了下来。 ...
libcurl
南宫封清的博客
11-06 856
curl_easy_setopt(m_hCurl, CURLOPT_ACCEPT_ENCODING, ""); 传递一个char *参数,指定您想要的编码。 设置HTTP请求中发送的Accept-Encoding:标头的内容,并在接收到Content-Encoding:标头时启用对响应的解码。 libcurl可能支持多种不同的压缩编码,具体取决于内置的支持。 为了帮助应用程序不必担心此特定的libcurl构建支持哪些特定算法,libcurl允许设置长度为零的字符串(“”)要求使用Accept-Enc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值