远线程注入代码时,应该注意些细节

最新推荐文章于 2021-03-14 14:27:39 发布
最新推荐文章于 2021-03-14 14:27:39 发布
阅读量1.3k 收藏
点赞数
分类专栏: 辅助研究 文章标签: 汇编 null c access 游戏 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingyuanlove/article/details/6710635
版权
 

//

//编辑时间:2011-8-22

//整理人:紫色溟渊

//说明:仅供学习技术交流,欢迎转载,转载请注明出处。

//编辑目的:

//     1.加深自己对远线程注入的理解,

//     2.对VC内嵌汇编代码进一步了解

//     3.DEBUG版的函数会有堆栈检测,RELEASE版的函数没有堆栈检测代码

//     4.理解一下汇编代码对应的机器码

//     5.自己打算做一个易语言汇编模块    

//

//汇编代码

PUBLIC  ?AsmInject@@YAXXZ                      ; AsmInject

EXTRN   __chkesp:NEAR

;      COMDAT ?AsmInject@@YAXXZ

_TEXT    SEGMENT

_dwAddr$ = -4

?AsmInject@@YAXXZ PROC NEAR                       ; AsmInject, COMDAT

 

; 8    : {

 

  00000  55           push      ebp

  00001  8b ec              mov      ebp, esp

  00003  83 ec 44  sub esp, 68                ; 00000044H

  00006  53           push      ebx

  00007  56           push      esi

  00008  57           push      edi

  00009  8d 7d bc  lea edi, DWORD PTR [ebp-68]

  0000c  b9 11 00 00 00       mov      ecx, 17                ; 00000011H

  00011  b8 cc cc cc cc  mov      eax, -858993460          ; ccccccccH

  00016  f3 ab              rep stosd

 

; 9    : DWORD dwAddr =0x0060E8F0 ;

 

  00018  c7 45 fc f0 e8

       60 00             mov      DWORD PTR _dwAddr$[ebp], 6351088 ; 0060e8f0H

 

; 10   : __asm

; 11   : {

; 12   :         pushad

 

  0001f  60           pushad

 

; 13   :         mov ecx,0x80000003

 

  00020  b9 03 00 00 80       mov      ecx, -2147483645 ; 80000003H

 

; 14   :         mov edx,[0x0AF8450]

 

  00025  ba 50 84 af 00 mov      edx, 11502672             ; 00af8450H

 

; 15   :         push ecx

 

  0002a  51           push      ecx

 

; 16   :         mov ecx,[edx +0x20]

 

  0002b  8b 4a 20  mov      ecx, DWORD PTR [edx+32]

 

; 17   :         add ecx,0x0d4

 

  0002e  81 c1 d4 00 00

       00           add       ecx, 212              ; 000000d4H

 

; 18   :         call dwAddr 

 

  00034  ff 55 fc   call       DWORD PTR _dwAddr$[ebp]

 

; 19   :         popad

 

  00037  61           popad

 

; 20   : }

; 21   : }

 

  00038  5f           pop       edi

  00039  5e           pop       esi

  0003a  5b           pop       ebx

  0003b  83 c4 44  add       esp, 68                ; 00000044H

  0003e  3b ec              cmp      ebp, esp

  00040  e8 00 00 00 00       call       __chkesp

  00045  8b e5             mov      esp, ebp

  00047  5d           pop       ebp

  00048  c3           ret  0

?AsmInject@@YAXXZ ENDP                                 ; AsmInject

_TEXT    ENDS

END


 

//

#include "StdAfx.h"

#include "publicfunction.h"

 

//

//汇编代码注入

void AsmInject()

{

       DWORD dwAddr =0x0060E8F0 ;

       __asm

       {

              pushad

              mov ecx,0x80000003

              mov edx,[0x0AF8450]  

              push ecx

              mov ecx,[edx +0x20]

              add ecx,0x0d4

              call dwAddr 

              popad

       }

}


 

//

第一段代码是VC6.0生成的汇编代码和机器代码

第二段代码是我编写的C代码,内嵌汇编

场景介绍:我尝试这将这个函数AsmInject() 通过远线程注入到 TARGET.EXE(被攻击进程)

发现问题:为什么远线程注入到TARGET.EXE进程会导致TARGET.EXE出现错误?

解决办法:

 

void AsmInject()

{

       DWORD dwAddr =0x0060E8F0 ;

       __asm

       {

              pushad

              mov ecx,0x80000003

              mov edx,[0x0AF8450]  

              push ecx

              mov ecx,[edx +0x20]

              add ecx,0x0d4

              call dwAddr 

              popad

       }

}


在以上这个函数中 红色标记的代码 通过观察汇编代码之后和我们想象的并不一样,

; 14   :         mov edx,[0x0AF8450]

 

  00025  ba 50 84 af 00 mov      edx, 11502672             ; 00af8450H

事实上它这里并不是把0x0AF8450里面的内容存放到edx,而是直接将0x0AF8450存放到edx中,和我们事先想象的好像不一样。

 

 

 

//

下面我做了一些改进

PUBLIC  ?AsmInject_New@@YAXXZ                            ; AsmInject_New

;      COMDAT ?AsmInject_New@@YAXXZ

_TEXT    SEGMENT

_dwAddr$ = -4

?AsmInject_New@@YAXXZ PROC NEAR                            ; AsmInject_New, COMDAT

 

; 26   : {

 

  00000  55           push      ebp

  00001  8b ec              mov      ebp, esp

  00003  83 ec 44  sub esp, 68                ; 00000044H

  00006  53           push      ebx

  00007  56           push      esi

  00008  57           push      edi

  00009  8d 7d bc  lea edi, DWORD PTR [ebp-68]

  0000c  b9 11 00 00 00       mov      ecx, 17                ; 00000011H

  00011  b8 cc cc cc cc  mov      eax, -858993460          ; ccccccccH

  00016  f3 ab              rep stosd

 

; 27   : DWORD dwAddr =0x0060E8F0 ;

 

  00018  c7 45 fc f0 e8

       60 00             mov      DWORD PTR _dwAddr$[ebp], 6351088 ; 0060e8f0H

 

; 28   : __asm

; 29   : {

; 30   :         pushad

 

  0001f  60           pushad

 

; 31   :                mov ecx,0x80000003

 

  00020  b9 03 00 00 80       mov      ecx, -2147483645 ; 80000003H

 

; 32   :                mov edx,0x0AF8450

 

  00025  ba 50 84 af 00 mov      edx, 11502672             ; 00af8450H

 

; 33   :                mov edx,[edx]

 

  0002a  8b 12             mov      edx, DWORD PTR [edx]

 

; 34   :                push ecx

 

  0002c  51           push      ecx

 

; 35   :                mov ecx,[edx +0x20]

 

  0002d  8b 4a 20  mov      ecx, DWORD PTR [edx+32]

 

; 36   :                add ecx,0x0d4

 

  00030  81 c1 d4 00 00

       00           add       ecx, 212              ; 000000d4H

 

; 37   :                call dwAddr 

 

  00036  ff 55 fc   call       DWORD PTR _dwAddr$[ebp]

 

; 38   :                popad

 

  00039  61           popad

 

; 39   : }

; 40   : }

 

  0003a  5f           pop       edi

  0003b  5e           pop       esi

  0003c  5b           pop       ebx

  0003d  83 c4 44  add       esp, 68                ; 00000044H

  00040  3b ec              cmp      ebp, esp

  00042  e8 00 00 00 00       call       __chkesp

  00047  8b e5             mov      esp, ebp

  00049  5d           pop       ebp

  0004a  c3           ret  0

?AsmInject_New@@YAXXZ ENDP                         ; AsmInject_New

_TEXT    ENDS

END


 

//

//汇编代码注入 改进版

void AsmInject_New()

{

       DWORD dwAddr =0x0060E8F0 ;

       __asm

       {

              pushad

                     mov ecx,0x80000003

                     mov edx,0x0AF8450

                     mov edx,[edx]

                     push ecx

                     mov ecx,[edx +0x20]

                     add ecx,0x0d4

                     call dwAddr 

                     popad

       }

}


 

远线程注入改进版的汇编代码注入之后 ,可以看到TARGET.EXE进程确实存在效果,但是TARGET.EXE任然会报错,这又是为什么呢???

  0003d  83 c4 44  add       esp, 68                ; 00000044H

  00040  3b ec              cmp      ebp, esp

  00042  e8 00 00 00 00       call       __chkesp


 

据说是DEBUG版本的堆栈检测机制,只有在DEBUG版本里面才会有,那么我们使用RELEASE版本编译试试看。

PUBLIC  ?AsmInject_New@@YAXXZ                            ; AsmInject_New

;      COMDAT ?AsmInject_New@@YAXXZ

_TEXT    SEGMENT

_dwAddr$ = -4

?AsmInject_New@@YAXXZ PROC NEAR                            ; AsmInject_New, COMDAT

 

; 26   : {

 

  00000  55           push      ebp

  00001  8b ec              mov      ebp, esp

  00003  51           push      ecx

  00004  53           push      ebx

  00005  56           push      esi

  00006  57           push      edi

 

; 27   : DWORD dwAddr =0x0060E8F0 ;

 

  00007  c7 45 fc f0 e8

       60 00             mov      DWORD PTR _dwAddr$[ebp], 6351088 ; 0060e8f0H

 

; 28   : __asm

; 29   : {

; 30   :         pushad

 

  0000e  60           pushad

 

; 31   :                mov ecx,0x80000003

 

  0000f  b9 03 00 00 80       mov      ecx, -2147483645 ; 80000003H

 

; 32   :                mov edx,0x0AF8450

 

  00014  ba 50 84 af 00 mov      edx, 11502672             ; 00af8450H

 

; 33   :                mov edx,[edx]

 

  00019  8b 12             mov      edx, DWORD PTR [edx]

 

; 34   :                push ecx

 

  0001b  51           push      ecx

 

; 35   :                mov ecx,[edx +0x20]

 

  0001c  8b 4a 20  mov      ecx, DWORD PTR [edx+32]

 

; 36   :                add ecx,0x0d4

 

  0001f  81 c1 d4 00 00

       00           add       ecx, 212              ; 000000d4H

 

; 37   :                call dwAddr 

 

  00025  ff 55 fc   call       DWORD PTR _dwAddr$[ebp]

 

; 38   :                popad

 

  00028  61           popad

 

; 39   : }

; 40   : }

 

  00029  5f           pop       edi

  0002a  5e           pop       esi

  0002b  5b           pop       ebx

  0002c  8b e5             mov      esp, ebp

  0002e  5d           pop       ebp

  0002f  c3           ret  0

?AsmInject_New@@YAXXZ ENDP                         ; AsmInject_New

_TEXT    ENDS

END


 

//

我们远线程注入这段代码

//

//汇编代码注入

void CASMCodeInjectDlg::OnButtonAsmInject() 

{

       // TODO: Add your control notification handler code here

       DWORD procid;

       HWND hwnd ;

       hwnd =::FindWindow(NULL ,"Element Client") ;

       if (hwnd ==NULL)

       {

              MessageBox("请先运行游戏") ;

              return ;

       }

       ::GetWindowThreadProcessId(hwnd,&procid);//获得进程ID

       HANDLE prochandle=::OpenProcess(PROCESS_ALL_ACCESS,false,procid);//打开进程

       LPVOID baseaddr=VirtualAllocEx(prochandle,NULL,1024*4,MEM_COMMIT,PAGE_EXECUTE_READWRITE);//分配空间

       if(baseaddr==NULL)

       {

              MessageBox("分配空间出错");

              return;

       }

       if(!::WriteProcessMemory(prochandle,baseaddr,&AsmInject_New,1024*4,NULL))

       {

              MessageBox("将函数写内存出错");

              return ;

       }

       HANDLE tid;

       tid=CreateRemoteThread(prochandle,NULL,0,(LPTHREAD_START_ROUTINE)baseaddr,0,0,NULL);//远程调用函数

       WaitForSingleObject(tid,INFINITE);//等待线程结束

       VirtualFreeEx(prochandle,baseaddr,1024*4,MEM_RELEASE);

       ::CloseHandle(prochandle);

}

 

确实没有堆栈检测机制,然后我们再次注入这段代码,很好,TARGET.EXE并没有出现错误,一切都是如此的正常,如此的和谐。

 

//

如果我们直接向TARGET.EXE写入机器指令该怎么做呢?

//

//机器码函数注入

void CASMCodeInjectDlg::OnButtonMachinecodeInject() 

{

       // TODO: Add your control notification handler code here

       DWORD procid;

       HWND hwnd ;

       hwnd =::FindWindow(NULL ,"Element Client") ;

       if (hwnd ==NULL)

       {

              MessageBox("请先运行游戏") ;

              return ;

       }

       ::GetWindowThreadProcessId(hwnd,&procid);//获得进程ID

       HANDLE prochandle=::OpenProcess(PROCESS_ALL_ACCESS,false,procid);//打开进程

       LPVOID baseaddr=VirtualAllocEx(prochandle,NULL,1024*4,MEM_COMMIT,PAGE_EXECUTE_READWRITE);//分配空间

       if(baseaddr==NULL)

       {

              MessageBox("分配空间出错");

              return;

       }

       //

       //待注入的机器指令

       char cMachineCode[] ={

              0x55,      

                     0x8b, 0xec,     

                     0x51,      

                     0x53,      

                     0x56,      

                     0x57,

                     0xc7, 0x45, 0xfc, 0xf0, 0xe8, 0x60, 0x00,

                     0x60,

                     0xb9, 0x03, 0x00, 0x00, 0x80,

                     0xba, 0x50, 0x84, 0xaf, 0x00,

                     0x8b, 0x12,

                     0x51,

                     0x8b, 0x4a, 0x20,

                     0x81, 0xc1, 0xd4, 0x00, 0x00, 0x00,

                     0xff, 0x55, 0xfc,

                     0x61,

                     0x5f,

                     0x5e,

                     0x5b,

                     0x8b, 0xe5,

                     0x5d,

                     0xc3

       } ;

       if(!::WriteProcessMemory(prochandle,baseaddr,cMachineCode,1024*4,NULL))

       {

              MessageBox("将函数写内存出错");

              return ;

       }

       HANDLE tid;

       tid=CreateRemoteThread(prochandle,NULL,0,(LPTHREAD_START_ROUTINE)baseaddr,0,0,NULL);//远程调用函数

       WaitForSingleObject(tid,INFINITE);//等待线程结束

       VirtualFreeEx(prochandle,baseaddr,1024*4,MEM_RELEASE);

       ::CloseHandle(prochandle);

}


 

事实上,上面的机器码是直接copy AsmInject_New这个函数的机器码,没有做任何修改,把这些机器码存放到cMachineCode 缓冲区中。进行远线程注入依然可以行的,如此的和谐,TARGET.EXE也不会给我一个 READ MEMORY ERROR !

 

以上说了下远线程注入的细节问题。

perfectplug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《逆向工程核心原理》----第28章 汇编进行代码注入
qq_55785697的博客
05-23 1244
一、dll注入代码注入的区别 1.首先字面意思,前者将整个包含攻击函数的dll注入到其他进程中去,后者直接注入可独立运行的代码,也被称为线程注入。 dll注入:将攻击函数包含在dll中,加载dll则会执行,然后用VirtualAllocEx给目标进程分配空间,WriteProcessMemory写入该dll,并用LoadLibarary加载kernal32,然后用GetProcAddress得到LoadLibarary的地址,最后创建一个线程,执行LoadLibarary加载dll。 代码注入
线程注入
hambaga的博客
08-07 499
本文记录了最普通的一种dll注入方式——线程注入,以便日后复习用。 首先准备一个要注入的dll(步骤略),准备一个32位程序,本文使用扫雷。将扫雷和dll放在同一目录,运行扫雷。 然后编写程序,将dll加载到扫雷的内存中。 // 多字节字符集 #include <Windows.h> #include <stdio.h> BOOL EnableDebugPrivilege(); int main() { // 提权(win10) EnableDebugPrivileg
语言ASM(汇编)模块V1.2
03-19
语言ASM(汇编)模块V1.2更新 内详 V1.2把其实也没有做太多修改 删掉了一些个指令 刚开始发布把,太激动 所以很多没用的东西都没删 现在删掉了 并且做了几个api函数的使用方式 如 消息框 等 在这里声明: 反汇编引擎并非本人所写 ,引用了两个引擎 一个是OD的反汇编引擎一个是CE的 引用CE的是为了补足OD引擎的某些不足, 还有一个自己试写的AOB搜索 内有详细介绍 测试搜索速度还不错 所以放上去 了 下面是 部分功能代码 .版本 2 .支持库 spec .子程序 ASM信息框, 整数型 .参数 内容, 文本型 .参数 标题, 文本型 .参数 类型, 整数型, 可空 置汇编 (“push [ebp+10]”) 取变量数据地址 (标题) 置汇编 (“push eax”) 取变量数据地址 (内容) 置汇编 (“push eax”) 置汇编 (“push 0”) 置汇编 (“call MessageBoxA”) 置汇编 (“mov esp,ebp”) 置汇编 (“pop ebp”) 置汇编 (“retn 0c”) 返回 (0) .版本 2 //系统启动间的api 置汇编 (“call GetTickCount”) 置汇编 (“mov [ebp-4],eax”) 按钮7.标题 = 到文本 (a) + “毫秒” .版本 2 .子程序 ASM_取文本长度, 整数型 .参数 文本, 文本型 置汇编 (“mov eax,[ebp+8]”) 置汇编 (“push [eax]”) 置汇编 (“call lstrlenA”) 置汇编 (“mov esp,ebp”) 置汇编 (“pop ebp”) 置汇编 (“retn 04”) 返回 (0) 以及错误提示的演示
[汇编]汇编学习笔记(7):代码注入
学习之路
10-18 323
之前练习写了个拳皇13修改器,发现需要对程进程操作,一直需要ReadProcessMemory,发现代码量会变得很多,最近又学到一个代码注入,发现比之前的的要方便很多。关键API是CreateRemoteThread,这个网上有很多介绍,这边就不仔细介绍了。 有2个地方需要注意:平台和发布模式。必须是Release模式下,平台要跟需要注入的程序有关,比如:黑暗之...
汇编与易语言
平凡者的专栏
03-11 4658
一 堆栈结构 二 例子解析 00000000 - 60 pushad 00000001 - 8B 4D 10 mov ecx, dword [ebp+0x10] 00000004 - 8B 7D 08 mov edi, dword [ebp+0x08] 00000007 - 8B 75 0C mov esi, dword [ebp+0x0C] 0000000A...
代码注入,并调用相关call
jack533的专栏
03-14 2309
目的 在目标程序注入代码,并执行注入的调用代码
注入 - 代码注入线程篇 - C_C++_Python_Java - 博客园.pdf
06-17
从所提供的内容中,我们可以得知该文档是一个技术博客,作者基于CodeProject上的一篇老旧文章,结合自己的理解和实践,撰写了关于代码注入技术的文章,特别关注于线程注入的技术细节。 本文档主要讨论了以下几...
线程注入支持库1.0版(Injection.fne)-易语言
06-13
,不同版本的Windows操作系统可能有不同的兼容性和API行为,因此在编写注入代码,需要考虑到这些差异。 5. **易语言语法**:使用易语言进行线程注入,需要理解易语言的语法结构和特性,如何调用底层API...
dllzhuru.rar_dll 注入_dll注入_vc 注入_注入
最新发布
09-24
DLL注入的核心在于,一个进程可以将自身的代码注入到另一个进程中,使得目标进程在不知情的情况下执行注入代码。这种方式可以用来实现跨进程通信、调试目的或者其他非授权行为。在Windows操作系统中,DLL注入主要...
线程注入asm代码
06-01
线程注入asm代码.hello world级别 xxxxxxxxxxx
语言线程注入方法
01-04
语言例子:线程注入方法的例子...
语言-汇编源码
12-15
E语言汇编源码!需要的朋友拿去吧。共享了。
语言线程调用/汇编操作源码
09-23
语言线程调用/汇编操作源码 解决易语言没有内联汇编的烦恼! .版本 2 .支持库 spec .子程序 _按钮_本地调用_被单击 .局部变量 clsAsm, clsASM .局部变量 Code, 字节集 clsAsm.Mov_ECX (取子程序地址 (&子程序1)) clsAsm.Call_ECX () clsAsm.Ret () Code = clsAsm.Get_Code () 调用子程序 (取变量数据地址 (Code), , , )
语言置入代码内联汇编
07-23
语言置入代码内联汇编源码,置入代码内联汇编,减法1,加法1,乘法1,除法1
程升级qt客户端和服务端源代码.7z
07-07
,考虑到安全性,服务端的更新发布应当经过严格的权限控制,防止恶意代码注入。 总的来说,这个压缩包中的源代码提供了实现Qt客户端和服务端程升级的核心组件。开发者可以通过研究和学习这些代码,理解程...
C++注入
04-13
因此,在实际应用需要注意以下几点: 1. **合法性和道德性**:确保所从事的活动符合法律法规的要求。 2. **最小化风险**:仅在必要的候使用此类技术,并采取措施减少可能的安全风险。 3. **加强监控**:对于实施...
线程注入代码
Shatty的专栏
01-29 5659
                                                              线程注入代码        线程注入可以实现向一个正在运行的进程注入特定的代码。每个进程都有自己的私有空间。线程注入可以实现向一个正在运行的进程注入代码。通过进程名找到进程ID,在程进程开辟空间,启动一个线程,执行一个DLL中的函数,通过得到kernel32
代码注入三种方法(2)
weixin_34220834的博客
03-24 135
第三部分:CreateRemoteThread 和 WriteProcessMemory 技术 范例程序――WinSpy 另外一个将代码拷贝到另一个进程地址空间并在该进程上下文中执行的方法是使用线程和 WriteProcessMemory API。这种方法不用编写单独的DLL,而是用 WriteProcessMemory 直接将代码拷贝到程进程――然后用 Crea...
VB线程注入技术示例与源代码
本文档探讨了VB(Visual Basic)线程注入技术,一种在VB编程环境下利用Windows API进行高级操作的方法。主要关注的是如何在不依赖DLL的情况下实现键盘拦截功能。以下是文档的关键知识点: 1. **VB代码示例**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值