原理:
自己写的一个进程,将对方的进程空间打开,在其中写ShellCode,这句shellcode翻译为机器指令实际上就是loadlibrary(Dll.dll),也就是自己写的一个动态库,在这个动态库中这写了当有进程加载此动态库时弹出一个MessageBox。
五个函数都在围绕ShellCode的这三个地址来写的。
ShellCode中需要三个地址:
1.EIP的地址,就是对方主线程的eip地址,通过从对方主线程的上下背景文获得。GetMainThreadIDByProcessID,InjectDllBySetThreadContext
2.Dll的地址,直接在本进程中获得。GrantPriviledge(提权),这个归类貌似有些不合适
3.对方进程中导入表的loadlibrary函数的地址:首先打开对方进程空间PEB,利用PEB中的一个PE文件中有导入表的偏移,PE文件的基地址加上这个偏移得到导入表的基地址,然后两层循环遍历导入表(模块和函数名),最后得到目标函数地址。GetPebByProcessID, GetFunctionAddressInTargetProcessImportTableByFunctionName
注意点:
ModuleBase = (ULONG_PTR)Peb.ImageBaseAddress;
//PEB结构中获得的ImageBaseAddress成员的地址就是PE文件的基地址(Dos头地址)!
IMAGE_IMPORT_DESCRIPTOR ImageImportDescriptor = { 0 };
DWORD v1 = 0;
v1 = ImageNtHeaders.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
//PE文件的NT头中获得的v1只是导入表的偏移!
//(PIMAGE_IMPORT_DESCRIPTOR)(ModuleBase + v1)才是(第一张)导入表的绝对地址!
//也就是(第一张)导入表的地址等于PE文件的基地址加上v1这个偏移!
源代码:
download.csdn.net/download/nyzdmc/10129241
8173
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
