滴水 加载进程,内存写入

已于 2024-05-08 06:10:49 修改
阅读量204 收藏
点赞数 3
文章标签: windows c语言 操作系统
于 2024-04-15 05:43:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pluginL/article/details/137762456
版权

***第一个递归问题解决了,原因是如果加载过的dll再修复一边会重复包含然后卡死循环,不过后来有大佬告诉我LoadLibrary或自动加载所需要的DLL,所以竹篮打水一场空,不过我还是会修改代码的,给大家演示一下这种情况,说不定未来哪天能用上
但是就算解决了也无法运行图形界面的程序,比如飞鸽运行出来没有图标,界面只有一个后台进程,PEtool跑不了
后来都要学完内核了,才想起来了,这个软件跑不起来才是正常的,傀儡进程能跑起来图形界面,是因为创建了一个新的进程并且有自己的界面,控制台程序已经占有了这个线程

第一个跳转这个没写好,只有能加载控制台程序,我猜是导入表dll依赖其他dll,那么就需要递归,但我怎么也写不出来,那个递归莫名其妙的有个死循环,一直重复包含
后面贴了IAT修复函数,里面有写一个坑,修复IAT的时候注意对着INT修改成IAT,因为后面那个程序的IAT是已经被修过的了,没有储存数据

VOID ProcessJmp(PBYTE pFileName) {
	//读入数据,初始化各项需要的数据
	PBYTE pFileBuffer = 0;
	PBYTE pImageBuffer = 0;
	DWORD dwFileSize = FileToFileBuffer(pFileName, &pFileBuffer);
	DWORD dwImageSize = FileBufferToImageBuffer(pFileBuffer, &pImageBuffer, dwFileSize);
	free(pFileBuffer);
	PIMAGE_DOS_HEADER pDosHeader = pImageBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pImageBuffer + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
		printf("File is not PE\n");
		free(pImageBuffer);
		return FALSE;
	}
	PIMAGE_FILE_HEADER pFileHeader = (DWORD)pNTHeader + sizeof(pNTHeader->Signature);
	PIMAGE_OPTIONAL_HEADER pOptionalHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSectionHeader = (DWORD)pOptionalHeader + pFileHeader->SizeOfOptionalHeader;
	PBYTE oep = pOptionalHeader->ImageBase + pOptionalHeader->AddressOfEntryPoint;
	//在自身内存Process.ImageBase处申请Process.ImageSize大小的内存
	HANDLE hCurProcess = GetCurrentProcess();
	PVOID pImageBase = VirtualAllocEx(hCurProcess, pOptionalHeader->ImageBase, pOptionalHeader->SizeOfImage,
		MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (!pImageBase) {
		printf("VirtualAllocEx1\n");
		return;
	}
	//修IAT
	FixIATTable(&pImageBuffer);
	//写入pImageBase处
	if (!WriteProcessMemory(hCurProcess, pImageBase, pImageBuffer, dwImageSize, 0)) {
		printf("WriteProcessMemory\n");
		return;
	}

	free(pImageBuffer);
	__asm {
		jmp oep
	}
}

VOID __stdcall Entry(LPVOID pImageBase) {
	//修复IAT表
	FixIATTable(&pImageBase);
	MessageBoxA(0, "Hello", 0, 0);
}
//进程注入
VOID ProcessInject(PBYTE pFileName){
	//数据初始化
	STARTUPINFO si = { 0 };
	si.cb = sizeof(STARTUPINFO);
	PROCESS_INFORMATION pi;

	HANDLE hCurProcess = GetCurrentProcess();
	HMODULE hModule = GetModuleHandle(NULL);
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule;
	PIMAGE_NT_HEADERS pNtHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	PIMAGE_OPTIONAL_HEADER pOptionHeader = &pNtHeader->OptionalHeader;
	PBYTE dwImageBase = hModule;
	DWORD dwSizeOfImage = pOptionHeader->SizeOfImage;
	//内存处理
	PBYTE pCurImage = (PBYTE)malloc(dwSizeOfImage);
	if (!pCurImage) {
		printf("malloc1\n");
		return;
	}
	if (!ReadProcessMemory(hCurProcess, dwImageBase, pCurImage, dwSizeOfImage, 0)) {
		free(pCurImage);
		printf("ReadProcessMemory\n");
		return;
	}
	pDosHeader = (PIMAGE_DOS_HEADER)pCurImage;
	pNtHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	pOptionHeader = &pNtHeader->OptionalHeader;
	PIMAGE_BASE_RELOCATION pBaseRelocation =
		pOptionHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress + pCurImage;
 
	if (!CreateProcessA(pFileName, 0, 0, 0, 0, CREATE_NEW_CONSOLE, 0, 0, &si, &pi)) {
		printf("CreateProcessA\n");
		return;
	}
	PBYTE pNewImageBase = VirtualAllocEx(pi.hProcess, 0, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (!pNewImageBase) {
		printf("VirtualAllocEx\n");
		return;
	}
	pOptionHeader->ImageBase = pNewImageBase;
	//修复重定位表
	DWORD dwImageDiff = pNewImageBase - dwImageBase;
	if (pBaseRelocation != pCurImage) {
		while (pBaseRelocation->VirtualAddress && pBaseRelocation->SizeOfBlock) {
			DWORD items = (pBaseRelocation->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / 2;
			PWORD pBlock = (DWORD)pBaseRelocation + sizeof(IMAGE_BASE_RELOCATION);
			for (size_t i = 0; i < items; i++) {
				if (*pBlock >> 12) {
					DWORD VA = pBaseRelocation->VirtualAddress + (*pBlock & 0xfff);
					PDWORD offsetAddr = (PDWORD)(VA + pCurImage);
					//printf("%x %x\n", VA, *offsetAddr);
					*((PDWORD)(VA + pCurImage)) += dwImageDiff;
				}
				pBlock++;
			}
			pBaseRelocation = (DWORD)pBaseRelocation + pBaseRelocation->SizeOfBlock;
		}
	}
	else {
		printf("no base relocation table\n");
	}
	//写入新建进程中,再创建线程运行
	if (!WriteProcessMemory(pi.hProcess, pNewImageBase, pCurImage, dwSizeOfImage, 0)) {
		printf("WriteProcessMemory\n");
		return;
	}
	free(pCurImage);
	DWORD entryAddr = (DWORD)Entry + dwImageDiff;
	HANDLE hRemoteThread = CreateRemoteThread(pi.hProcess, 0, 0, entryAddr,pNewImageBase, 0, 0);
	if (!hRemoteThread) {
		printf("CreateRemoteThread");
		return;
	}
	WaitForSingleObject(hRemoteThread, INFINITE);
	//CloseHandle(hRemoteThread);
}

//修复IAT表,递归导入互相依赖的dll(实现了)
VOID FixIATTable(PVOID* pImageBufferBuffer) {
	//MessageBoxA(0, 0, 0, 0);
	PBYTE pImageBuffer = *pImageBufferBuffer;
	PIMAGE_DOS_HEADER pDosHeader = pImageBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pImageBuffer + pDosHeader->e_lfanew;
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE) {
		printf("File is not PE\n");
		free(pImageBuffer);
		return;
	}
	PIMAGE_FILE_HEADER pFileHeader = (DWORD)pNTHeader + sizeof(pNTHeader->Signature);
	PIMAGE_OPTIONAL_HEADER pOptionalHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	if (!pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress) {
		//printf("No import table\n");
		return;
	}
	PIMAGE_IMPORT_DESCRIPTOR pImportTable =
		pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress + pImageBuffer;
	while (pImportTable->OriginalFirstThunk) {
		//大坑,不要乱用函数,因为还没有加载过...
		BOOL flag = 0;
		PBYTE lpDllName = pImportTable->Name + pImageBuffer;
		//printf("%s\n", lpDllName);
		HANDLE hModule = GetModuleHandleA(lpDllName);
		if (!hModule) {
			hModule = LoadLibraryA(lpDllName);
			flag = 1;
			if (!hModule) {
				//printf("hModule获取失败\n");
				return;
			}
		}
		PDWORD pINT = pImportTable->OriginalFirstThunk + pImageBuffer;
		PDWORD pIAT = pImportTable->FirstThunk + pImageBuffer;
		while (*pINT) {
			PVOID pFunAddr;
			if (*pINT & 0x80000000) {
				pFunAddr = GetProcAddress(hModule, *pINT & 0x7fffffff);
				//printf("pImportByOrdinals:%x\n", *pINT & 0x7fffffff);
			}
			else {
				PIMAGE_IMPORT_BY_NAME pImportByName = *pINT + pImageBuffer;
				//printf("pImportByName:%s\n", pImportByName->Name);
				pFunAddr = GetProcAddress(hModule, pImportByName->Name);
			}
			DWORD dwProtect;
			if (!VirtualProtectEx(-1, pIAT, sizeof(PVOID), PAGE_READWRITE, &dwProtect)) {
				printf("VirtualProtect");
				return;
			}
			*pIAT = pFunAddr;
			pIAT++;
			pINT++;
		}
		if (flag){
		//如果不想用递归就加个注释就能跑了
			FixIATTable(&hModule);
		}
		pImportTable++;
	}
}
123qweqew
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
滴水逆向P77】加载进程(PE查看器)应用程序源码解析
WdIg-2023的博客
05-25 1450
在上一篇文章中讲解了通用控件,做了一个基本的加载进程(PE查看器)的应用程序项目,,大家如果有不懂的可以去看看,由于不是很了解Win32编程,所以有很多东西写出来了,但是不是很理解,所以今天专门来写一篇文章来详细了解一下其中使用到的API,函数,宏和结构体。
Win32滴水项目---进程监控
weixin_44711063的博客
03-11 1064
进程监控–项目练习 项目要求: 特别说明 注意:此次项目在Win XP下编写,Win10上没有尝试。还有,监控程序(Hacker.exe)需拥有重定位表,就是DEBUG版 使用内存写入的方式,实现模块隐藏. IAT表中有的API使用IAT Hook实现 不在IAT表的使用Inline Hook实现 将监控的API参数写入到文件中 进程间通信方式自己选择,有创新最好 所有的HOOK能够正常卸载,不能导致进程意外结束 我采用的是内存写入的方式注入(将当前进程代码重定位写入远程进程,在远程进程中修复IAT
滴水逆向三期 内存注入/无模块注入
四位的博客
01-05 3053
找文章看了一下, 讲的很好, 但是地址没了…尴尬, 03年的技术, 大致内容就是介绍了两种注入技术, 一个为常规的远程线程注入, 另一个就是内存注入. 只不过文章思路是只插入一段代码, 也就是编写shellcode. 而无模块注入则是将模块整体以内存写入的形式加载实现隐藏 . 杀软依然秒杀…但是我封装起来写后就检测不到, 特征码竟然消失了… 原理与问题 思路是将自己复制一份加载到目标进程中, 即注入进程和寄生程序是一个东西.不过想想也知道, 注入dll也是一个原理, 无非是拉伸之后再贴到目标进程, 最后依然
滴水加密壳,类似傀儡进程
pluginL的博客
04-13 176
还有就是滴水给出的细节没给全,因为我的试验是,两个软件如果文件对齐,内存对齐是一样的就能运行,否则不行。我试了两组例子,一组1000 10000,一组1000 200,一样就能够运行,不一样就不行。该踩的坑有,ASLR基址,大意就是不能修改imagebase不然后系统一检测到就报c0000005,所以大多数软件都不需要修复重定位表,大部分imagebase都是0x400000。我猜测是因为上下文里还有需要修改的东西。总之是一项过时的技术,体验思路就行,没必要抓着这些细枝末节刨根问底。
滴水逆向三期15611 进程通信 项目练习
四位的博客
01-10 1422
进程通信联系概要步骤进程通信为什么要进程通信命名管道dll 无模块注入为什么必须是dllshellcode 注入模块注入shellcode 部分Extract代码 概要 最终效果 创建进程通信 通信测试 IATHOOK 剪切板内容 inlineHook 创建进程 文章分如下几部分 步骤 进程通信 dll注入 问题总结 本篇文章不是一个实现过程, 而是一个关于这个项目的一个总结, 包含了比较多外链, 帮助更好的理解. 步骤 实现进程通信 无模块注入dll hook 进程通信
windows驱动开发教程 滴水_Windows脚本编程的知识和技巧(一)
weixin_39802784的博客
12-23 345
Windows脚本编程的知识和技巧【目录】1,前言2,回顾WSH对象3,WMI服务4,脚本也有GUI5,反查杀6,来做个后门7,结语8,参考资料【前言】本文讲述一些Windows脚本编程的知识和技巧。这里的Windows脚本是指"Windows Script Host"(WSH Windows脚本宿主),而不是HTML或ASP中的脚本。前者由Wscript或Cscript解释,后两者分别由IE和I...
Linux使用C语言获取进程信息
Once_day的回忆
02-23 1447
在计算机的世界里,Linux进程是一个非常基础而且关键的概念。它可以被理解为正在执行的一个程序的实例。每个进程都有自己独特的身份,我们称之为进程ID(PID),就像每个人都有自己的身份证号码一样。Linux操作系统是一种多任务操作系统,可以同时运行多个进程,就像一个杂技团队能同时上演多个节目一样。现在,想象一下进程是厨房里的一个厨师,而计算机资源(如CPU、内存)则是厨房里的炉子、锅碗瓢盆。每个厨师都需要这些资源来完成他们的烹饪任务。
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密壳项目
四位的博客
12-27 1999
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
滴水三期:day26.2-C文件操作的函数
Edimade的博客
03-10 290
一、文件操作>二、文件操作的函数>三、作业(1.将记事本的.exe文件读取到内存,并返回读取后在内存中的地址>2.将内存中的数据存储到一个文件中,(.exe格式),然后双击打开,看是否能够使用>3.用十六进制文本编辑器,打开一个记事本的.exe文件(普通的文件),再打开在内存中的记事本进程(已经加载内存中),记录下这两个文件的不同)
进程加载_END.rar
06-24
"滴水三期的进程加载壳项目代码" 提供的资源很可能是一个关于这个主题的实践案例,让我们深入了解一下相关知识点。 首先,我们要理解什么是“进程”。在操作系统中,进程是程序在执行时的一个实例,它包含了程序的...
实现exe从资源中加载内存中运行
08-28
由于资源中的exe是在内存中执行,没有写入磁盘,因此,如果这个exe有恶意代码,可能会对当前进程造成影响。为了降低风险,可以使用沙箱环境或者限制新进程的权限。 最后,执行完毕后,别忘了清理资源。包括释放已...
内存加载PE模块
09-07
内存加载PE模块
滴水逆向中级课件源码
08-06
3. **内核空间与内核模块**(【批量下载】_05 内核空间与内核模块-201611101707580等.zip):这部分内容可能涉及操作系统内核的架构,包括内核空间的内存布局、模块加载和管理等。了解这些有助于逆向工程师识别和...
【入门基础】java泛型和通配符详解
最新发布
杰叔叔不是个好叔叔的博客
07-19 694
Java泛型(Generics)是JDK 5中引入的一个新特性,它提供了编译时类型安全检测机制,允许程序员在编译时检测到非法的类型。泛型的主要目的是在编译期间对类型进行检查,使得类型错误能在编译时而不是运行时被捕获,从而提高程序的稳定性和安全性。同时,它也消除了类型转换的代码,使得代码更加简洁和易于维护。需要注意的是,上述非主流用法并非推荐的做法,它们可能增加代码的复杂性和出错的风险。在大多数情况下,应优先考虑使用泛型和通配符的主流用法来编写清晰、简洁、易于维护的代码。
Java小技能:多级组织机构排序并返回树结构(包含每个层级的子节点和业务数据集合)
iOS逆向与安全
07-17 4843
包含每个层级的子节点和业务数据集合。
Collections.unmodifiableList
我这个代码你能看懂吗?
07-17 519
以上方法都可以用来复制一个List,具体选择哪种方法取决于你的需求和使用场景。如果你需要一个简单的、快速的复制,可以使用ArrayList构造函数或addAll方法。如果你需要更灵活的操作,可以考虑使用stream和。
共享模型之无锁
快乐的小三菊的博客
07-19 840
共享模型之无锁
FastAPI 学习之路(五十九)封装统一的json返回处理工具
mr~li的博客
07-18 384
在本篇文章之前的接口,我们每个接口异常返回的数据格式都不一样,处理起来也没有那么方便,因此我们可以封装一个统一的json。改造后,我们的返回消息,可以自定义code,message,data。接下来我们再次改造下我们的新建用户的接口。把代码统一放到common下面的json_tools.py里面,我们在接口返回的时候调用。这样我们就完成了统一接口响应处理,后续我们可以在所有的接口中使用。我们看下修改后的用户返回。我们看下处理后的效果。我们看创建重复的返回。
halcon 滴水算法
06-14
滴水算法(也称为“水填充”或“区域生长”)是Halcon中用于图像分割的一种方法,它的基本思想是将图像中的像素分为两类:前景和背景。这个过程从一个初始的种子像素开始,然后逐步扩展,将与已知前景相似的邻近像素...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值