Day 3 学习代码注入技术

已于 2022-09-29 09:22:06 修改
阅读量401 收藏
点赞数
分类专栏: “逆”海寻趣 文章标签: 学习 windows microsoft
于 2022-09-28 18:38:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neuisf/article/details/127082384
版权 
   劳逸结合,今天不做题。通过《逆向工程核心原理》学习一下代码注入技术。
   书中将代码注入与DLL注入做了区分。虽然二者都是通过创建远程线程来实现代码的运行,不同之处在于代码注入是只将程序指令与数据写入其他进程,而DLL注入是将整个DLL文件加载到目标进程内。从注入的代码量来看,代码注入更少。
    由于代码注入是将指令写入到其他进程中去,在执行时,需考虑到函数和参数的地址。这无形中增加了实现的复杂程度。同时,对于一些需要动态加密的代码更是如此。相反,DLL注入技术可以将全部的指令和数据在DLL中实现。
   下面,参照书中的示例,练习一下代码注入,进一步地,自己写一段加壳的代码,注入到远程进程中执行。
   第一步 按照书中的代码,实现弹窗口。

0x1 启动VS2019,创建空的一个控制台项目
在这里插入图片描述
生成x86平台的Release版可执行程序。
在这里插入图片描述

    0x2 使用OllyDbg打开该程序。
   书中将EIP重定位到代码段起始地址,用OD尝试了一下,在保存时,总是失败。在代码段原来的入口附近,任意选择一个地址,直接输入汇编语句:
   push ebp
   mov ebp,esp
   mov esi,DWORD TPR SS:[EBP+8]
   push 6c6c
   push 642E3233
   push 72657375    ' 压入user32.dll
   push esp
   calll dword ptr ds:[esi]
   push 41786f
   push 42656761
   push 7373654d ‘压入MessageBoxA
   push esp
   push eax
   call dword ptr ds:[esi+4]   ’ GetProcAddress(),得到MessageBoxA的地址
   push 0
   call address1
   .......
   此处输入ascii:ReverseCore结尾添加\x00
   ...... 
   address1: call address2
   ......
   此处输入ascii:www.reversecore.com
   ......
  address2: push 0
  call eax
  xor eax,eax
  mov esp,ebp
  pop ebp
  retn

此处有一个技巧:在call address1 指令执行时,会将下一个地址(ReverseCore字符串的地址)作为下一条指令的地址(函数返回地址)压入栈,实际上是将MessageBoxA的第三个参数压入了栈。
由于此处的函数实际上并不是真正的函数,不会返回这个地址执行。它将在下一条之指令处继续跳转(即address1出的指令:call address2)。这条指令同样将下一个地址作为“返回地址”压入栈,实际是将MessageBoxA的第二个参数(www.reversecore.com)压入栈,然后在address2处执行push 0 ,将MessageBoxA的第一个参数压入栈,此时,eax是MessageBoxA函数的地址。
0x3 在数据窗口中找到刚才输入汇编代码的区域,将十六进制数据复制到文本编辑器,转换为C语言数组格式
在这里插入图片描述

0x4 新建一个控制台项目,参考书中代码完成代码注入功能。

#include <windows.h>
char shellcode[] = {
	0x55,0x8B,0xEC,0x8B,0x75,0x08,0x68,0x6C,0x6C,0x00,
	0x00,0x68,0x33,0x32,0x2E,0x64,0x68,0x75,0x73,0x65,
	0x72,0x54,0xFF,0x16,0x68,0x6F,0x78,0x41,0x00,0x68,
	0x61,0x67,0x65,0x42,0x68,0x4D,0x65,0x73,0x73,0x54,
	0x50,0xFF,0x56,0x04,0x6A,0x00,0xE8,0x0c,0x00,0x00,
	0x00,0x52,0x65,0x76,0x65,0x72,0x73,0x65,0x43,0x6F,
	0x72,0x65,0x00,0xE8,0x14,0x00,0x00,0x00,0x77,0x77,
	0x77,0x2E,0x72,0x65,0x76,0x65,0x72,0x73,0x65,0x63,
	0x6F,0x72,0x65,0x2E,0x63,0x6F,0x6D,0x00,0x6A,0x00,
	0xFF,0xD0,0x33,0xC0,0x8B,0xE5,0x5D,0xC3
	};
typedef struct _THREAD_PARAM {
		FARPROC pFunc[2];
}THREAD_PARAM,*PTHREAD_PARAM;
BOOL InjectCode(DWORD dwPID)
{
    HMODULE hMod = NULL;
    THREAD_PARAM param = { 0, };
    HANDLE hProcess = NULL;
    HANDLE hThread = NULL;
    LPVOID pRemoteBuf[2] = { 0, };

    hMod = GetModuleHandleA("kernel32.dll");
param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA");
param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress");
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID);
pRemoteBuf[0] = VirtualAllocEx(hProcess, NULL, sizeof(THREAD_PARAM), MEM_COMMIT, PAGE_READWRITE);
WriteProcessMemory(hProcess, pRemoteBuf[0], (LPVOID)&param, sizeof(THREAD_PARAM), NULL);
pRemoteBuf[1] = VirtualAllocEx(hProcess, NULL, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, pRemoteBuf[1], (LPVOID)&shellcode, sizeof(shellcode), NULL);
hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteBuf[1], pRemoteBuf[0], 0, NULL);
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hThread);
CloseHandle(hProcess);
return TRUE;
}

int main(int argc,char* argv[])
{
    DWORD dwPID = 0;
    dwPID = atoi(argv[1]);
    if (InjectCode(dwPID))
        printf("OK!\n");
    else
        printf("Failed!\n");
    getchar();
    return 0;
}

0x5 生成解决方案 经测试,该程序在32位的Windows 7 系统下可以执行,在64位的Windows 10系统下不能完成注入执行。64位程序函数的参数不通过栈传递,而是通过rcx,rdx,r8和r9寄存器。
在这里插入图片描述

neuisf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《逆向工程核心原理》----第28章 汇编进行代码注入
qq_55785697的博客
05-23 1231
一、dll注入代码注入的区别 1.首先字面意思,前者将整个包含攻击函数的dll注入到其他进程中去,后者直接注入可独立运行的代码,也被称为线程注入。 dll注入:将攻击函数包含在dll中,加载dll则会执行,然后用VirtualAllocEx给目标进程分配空间,WriteProcessMemory写入该dll,并用LoadLibarary加载kernal32,然后用GetProcAddress得到LoadLibarary的地址,最后创建一个远程线程,执行LoadLibarary加载dll。 代码注入
PHP代码注入
Marsper的博客
11-09 525
代码注入 原理以及成因 PHP代码执行(注入)(web应用方面,应用脚本在服务执行)是指应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。 代码执行(注入)类似于SQL注入漏洞,SQLi是将SQL语句注入到数据库中执行,而代码执行则是可以把代码注入到应用中最终由服务运行它。这样的漏洞如果没有特殊的过滤,相当于直接有一个web后门的存在。 原因 1、程序中含有可执行PHP代码的函数或者语言结构。 2、传入第一点中的参数,客户端可控,直接修改或者影响。 漏洞危害 web 应用如果存在代码执行漏洞是一
CE修改入门:运用代码注入
热门推荐
CSDN
07-17 1万+
从本关开始,各位会初步接触到CE的反汇编功能,这也是CE最强大的功能之一。在第6关的时候我们说到指针的找法,用基址定位动态地址。但这一关不用指针也可以进行修改,即使对方是动态地址,且功能更加强大。代码注入是将一小段你写出的代码注入到目标进程中并执行它的技巧。在这一步教程中,你将有一个健康值和一个每按一次将减少 1 点健康值的按钮,你的任务是利用"代码注入",使每按一次按钮增加2点的健康值。
第五课 代码注入(C语言)
xuenixiang.com
09-04 3343
下面用一个代码注入示例向notepad.exe进程注入简单的代码注入后会弹出消息框,显示消息 首先,运行notepad.exe 查看notepad.exe的PID,我这里显示的是2608 · 在cmd窗口中运行CodeInjection.exe 并输入命令与参数 然后可以看到一个信息框被注入到notepad.exe进程当中 下面展示一下CodeInjection.e...
2.4 代码植入
qq_55202378的博客
07-22 786
栈溢出
学习JavaEE的day44
最新发布
05-10
通过结合HBuilder这样的高效IDE和W3School这样的学习资源,你可以在Java EE的Day 44深入学习这些概念和技术,并实践于实际项目中,提升自己的开发技能。在使用HBuilder时,注意熟悉其各项功能,充分利用其优势,以...
学习JavaEE的day23
03-06
6. **CDI(Contexts and Dependency Injection)**:CDI是JavaEE中依赖注入的标准,帮助管理对象的生命周期和依赖关系,提高代码的可测试性和可维护性。 7. **JSF(JavaServer Faces)**:JSF是一个用于构建用户...
学习JavaEE的day14
03-01
在“学习JavaEE的day14”这一主题中,我们主要关注的是Java企业级应用开发的进阶内容。JavaEE,全称为Java Platform, Enterprise Edition,是Java平台针对服务端和分布式应用程序的一个标准。它提供了丰富的API和...
学习JavaEE的day26
03-10
在“学习JavaEE的day26”这个主题中,我们主要关注的是Java企业级应用开发的进阶内容。JavaEE,全称为Java Platform, Enterprise Edition,是Java平台针对服务端和分布式应用程序的一个标准集合,提供了丰富的API...
ssh框架整合代码样例
07-09
通过分析`spring_day04sshdemo`中的代码,你可以学习到如何配置和集成这三个框架,包括: 1. Spring的bean配置:如何定义bean,如何进行依赖注入,以及如何使用AOP。 2. Struts2的配置:理解Action和结果配置,以及...
汇编代码注入src.rar
07-06
汇编代码注入src.rar
代码注入 调试CALL工具
05-07
代码注入 调试CALL工具 郁金香 分析游戏 调试call
汇编代码注入
10-25
汇编代码注入.远程注入代码注入
DLL注入实例+教程
10-17
远程注入DLL方法有很多种,也是很多木马病毒所使用的隐藏进程的方法,因为通过程序加载的DLL在进程管理是没有显示的.这里介绍一种用 CreateRemoteThread 远程建立线程的方式注入DLL. 首先,我们要提升自己的权限,因为远程注入必不可免的要访问到目标进程的内存空间,如果没有足够的系统权限,将无法作任何事.下面是这个函数是用来提升我们想要的权限用的. function EnableDebugPriv: Boolean; var hToken: THandle; tp: TTokenPrivileges; rl: Cardinal; begin Result := false; //打开进程令牌环 OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken); //获得进程本地唯一ID if LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) then begin tp.PrivilegeCount := 1; tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED; //调整权限 Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl); end; end; 关于 OpenProcessToken() 和 AdjustTokenPrivileges() 两个 API 的简单介绍: OpenProcessToken():获得进程访问令牌的句柄. function OpenProcessToken( ProcessHandle: THandle; //要修改访问权限的进程句柄 DesiredAccess: DWORD; //指定你要进行的操作类型 var TokenHandle: THandle//返回的访问令牌指针 ): BOOL; AdjustTokenPrivileges() :调整进程的权限. function AdjustTokenPrivileges( TokenHandle: THandle; // 访问令牌的句柄 DisableAllPrivileges: BOOL; // 决定是进行权限修改还是除能(Disable)所有权限 const NewState: TTokenPrivileges; { 指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组, 数据组的每个项指明了权限的类型和要进行的操作; } BufferLength: DWORD; //结构PreviousState的长度,如果PreviousState为空,该参数应为 0 var PreviousState: TTokenPrivileges; // 指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息 var ReturnLength: DWORD //实际PreviousState结构返回的大小 ) : BOOL; 远程注入DLL其实是通过 CreateRemoteThread 建立一个远程线程调用 LoadLibrary 函数来加载我们指定的DLL,可是如何能让远程线程知道我要加载DLL呢,要知道在Win32系统下,每个进程都拥有自己的4G虚拟地址空间,各个进程之间都是相互独立的。所我们需要在远程进程的内存空间里申请一块内存空间,写入我们的需要注入的 DLL 的路径. 需要用到的 API 函数有: OpenProcess():打开目标进程,得到目标进程的操作权限,详细参看MSDN function OpenProcess( dwDesiredAccess: DWORD; // 希望获得的访问权限 bInheritHandle: BOOL; // 指明是否希望所获得的句柄可以继承 dwProcessId: DWORD // 要访问的进程ID ): THandle; VirtualAllocEx():用于在目标进程内存空间中申请内存空间以写入DLL的文件名 function VirtualAllocEx( hProcess: THandle; // 申请内存所在的进程句柄 lpAddress: Pointer; // 保留页面的内存地址;一般用nil自动分配 dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 flAllocationType: DWORD; flProtect: DWORD ): Pointer; WriteProcessMemory():往申请到的空间中写入DLL的文件名 function WriteProcessMemory( hProcess: THandle; //要写入内存数据的目标进程句柄 const lpBaseAddress: Pointer; //要写入的目标进程的内存指针, 需以 VirtualAllocEx() 来申请 lpBuffer: Pointer; //要写入的数据 nSize: DWORD; //写入数据的大小 var lpNumberOfBytesWritten: DWORD //实际写入的大小 ): BOOL; 然后就可以调用 CreateRemoteThread 建立远程线程调用 LoadLibrary 函数来加载我们指定的DLL. CreateRemoteThread() //在一个远程进程中建立线程 function CreateRemoteThread( hProcess: THandle; //远程进程的句柄 lpThreadAttributes: Pointer; //线程安全描述字,指向SECURITY_ATTRIBUTES结构的指针 dwStackSize: DWORD; //线程栈大小,以字节表示 lpStartAddress: TFNThreadStartRoutine; // 一个TFNThreadStartRoutine类型的指针,指向在远程进程中执行的函数地址 lpParameter: Pointer; //传入参数的指针 dwCreationFlags: DWORD; //创建线程的其它标志 var lpThreadId: DWORD //线程身份标志,如果为0, 则不返回 ): THandle; 整个远程注入DLL的具体实现代码如下: function InjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: Pointer; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入的dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin lpThreadId := 0; // 计算LoadLibraryW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'LoadLibraryW'); // 启动远程线程LoadLbraryW,通过远程线程调用创建新的线程 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 如果执行成功返回 True; if (hRemoteThread 0) then Result := true; // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end; 接下来要说的是如何卸载注入目标进程中的DLL,其实原理和注入DLL是完全相同的,只是远程调用调用的函数不同而已,这里要调用的是FreeLibrary,代码如下: function UnInjectDll(const DllFullPath: string; const dwRemoteProcessId: Cardinal): Boolean; // 进程注入和取消注入其实都差不多,只是运行的函数不同而已 var hRemoteProcess, hRemoteThread: THandle; pszLibFileRemote: PChar; pszLibAFilename: PwideChar; pfnStartAddr: TFNThreadStartRoutine; memSize, WriteSize, lpThreadId, dwHandle: Cardinal; begin Result := false; // 调整权限,使程序可以访问其他进程的内存空间 if EnableDebugPriv then begin //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); try // 为注入的dll文件路径分配内存大小,由于为WideChar,故要乘2 GetMem(pszLibAFilename, Length(DllFullPath) * 2 + 1); // 之所以要转换成 WideChar, 是因为当DLL位于有中文字符的路径下时不会出错 StringToWideChar(DllFullPath, pszLibAFilename, Length(DllFullPath) * 2 + 1); // 计算 pszLibAFilename 的长度,注意,是以字节为单元的长度 memSize := (1 + lstrlenW(pszLibAFilename)) * SizeOf(WCHAR); //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 pszLibFileRemote := VirtualAllocEx(hRemoteProcess, nil, memSize, MEM_COMMIT, PAGE_READWRITE); if Assigned(pszLibFileRemote) then begin //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 if WriteProcessMemory(hRemoteProcess, pszLibFileRemote, pszLibAFilename, memSize, WriteSize) and (WriteSize = memSize) then begin // 计算GetModuleHandleW的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'GetModuleHandleW'); //使目标进程调用GetModuleHandleW,获得DLL在目标进程中的句柄 hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, pszLibFileRemote, 0, lpThreadId); // 等待GetModuleHandle运行完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 获得GetModuleHandle的返回值,存在dwHandle变量中 GetExitCodeThread(hRemoteThread, dwHandle); // 计算FreeLibrary的入口地址 pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'), 'FreeLibrary'); // 使目标进程调用FreeLibrary,卸载DLL hRemoteThread := CreateRemoteThread(hRemoteProcess, nil, 0, pfnStartAddr, Pointer(dwHandle), 0, lpThreadId); // 等待FreeLibrary卸载完毕 WaitForSingleObject(hRemoteThread, INFINITE); // 如果执行成功返回 True; if hRemoteProcess 0 then Result := true; // 释放目标进程中申请的空间 VirtualFreeEx(hRemoteProcess, pszLibFileRemote, Length(DllFullPath) + 1, MEM_DECOMMIT); // 释放句柄 CloseHandle(hRemoteThread); end; end; finally // 释放句柄 CloseHandle(hRemoteProcess); end; end; end;
代码注入 郁金香
06-10
代码注入 郁金香
代码注入实例教程(续一)
zgqtxwd的专栏
06-14 988
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
Web前端开发中的黑客技术以及安全技术(共七种)
javagty6778的博客
03-03 675
想当黑客?是的,基本每个程序员都有一颗相当黑客的心。从【黑客帝国】再到【欧洲攻略】,Hackers总是在黑暗中微笑,慢慢的侵蚀着互联网,侵蚀着他想要去的地方,获取别人的数据库,获取自己想要的信息,是不是帅到不讲武德。但是,我们身为公司的员工,我们有义务和责任保护公司的信息安全,这时候,我们可能有需要和黑客作斗争,化身为正义的天神,与黑暗中那个微笑的男人征战。所以说,这篇文章我想告诉大家前端黑客是如何操作的以及在公司我们如何保护好项目不受侵犯。
dll注入原理分析
Maxmalloc的博客
10-21 570
获取目标进程的pid 获取目标进程的句柄 向目标进程写入注入dll的路径字符串 建立远程线程 // zhuru1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include "pch.h" #include <iostream> #include <stdio.h> #include <Windows.h> #incl...
DLL注入代码注入心得
AiDeFengYun的博客
12-29 1159
DLL注入代码注入心得 预备知识 windows消息钩取 钩子顾名思义就是钩取消息的钩子,例如:windows消息钩取就像古代传递消息的士兵,被截获消息被敌人截取查看或修改后继续传递。 windows消息流 举个例子:键盘消息:用户从键盘上输入消息WM_KEYDOWN,os系统接收到后将消息放到 操作系统消息队列中,操作系统判断哪个应用程序中发生了事件,将操作系统消息队列中的键盘上输入消息WM_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值