windows下32位汇编代码注入

最新推荐文章于 2023-04-25 14:39:59 发布
最新推荐文章于 2023-04-25 14:39:59 发布
阅读量625 收藏 2
点赞数
分类专栏: 32位汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35426012/article/details/102594421
版权

以前写的那个dll注入在技术对抗中是比较容易检测的,因为你要加载dll,对方只要遍历一下dll,或者dll个数检测一下,有问题直接退出程序,而汇编代码注入就不一样,这是直接把代码写到内存中,检测内存难度可比检测dll要难的,而且你也可以利用内存对齐把代码写到因对齐而空闲的内存中,反正这些靠自己去想吧,原理就是在内存中注入代码,至于在哪个内存地址写就看自己想象了

注入原理:利用win32 api的VirtualAllocEx在目标进程开辟一块内存空间,用api—VirtualProtect修改一下内存属性,把自己的二进制代码利用api–WriteProcessMemory写进目标进程中,在利用api—CreateRemoteThread在目标进程中创建一个线程去执行这段内存的代码
**注意点:**一般进程都会加载ntdll,kernel32.dll也有可能加载,user32.dll,我选择的是调用user32.dll中的messagebox,所以要如果要所有的目标程序都支持你的注入程序(注入程序具有通用性)就要在注入的时候,让目标程序加载一下user32.dll,
遍历一下目标进程的模块(有api遍历模块),查找是否有user32.dll,如果没有让目标进程加载user32.dll
目标进程加载user32.dll思路有两种:一种就是我上次写的dll注入,就在目标进程开辟一块内存,内存中存放user32.dll字符串做参数,然后获取kerner32.dll中的LoadLibrary函数地址,利用创建远程线程去执行LoadLibrary函数(如果不成功说明自己kernel32.dll和目标的kernel32版本不一样,或者api地址不一样,这时候就要做地址重定位,利用偏移去定位地址)
第二种就是我们现在写的这种,用注入汇编代码调用api,这种方式看下列代码就清楚了

两种写法注入

1用纯32位汇编写代码
用radAsm创建一个窗口程序,点击按钮进行注入代码,代码如下
injection.inc


include windows.inc
include kernel32.inc
include user32.inc
include Comctl32.inc
include shell32.inc

includelib kernel32.lib
includelib user32.lib
includelib Comctl32.lib
includelib shell32.lib

DlgProc			PROTO	:HWND,:UINT,:WPARAM,:LPARAM

IDD_DIALOG1			equ 101
IDB_INJECT      EQU 1001

.const
  g_WindowName db "计算器", 0
  g_ClassName  db "SciCalc", 0
  g_User32     db "user32.dll", 0
  g_MessageBox    db "MessageBoxA", 0

;#########################################################################

.data?

hInstance			dd ?

injection.asm

.386
.model flat, stdcall  ;32 bit memory model
option casemap :none  ;case sensitive

include Inject.inc

.code

InjectCode:
  ;loadlibrary "user32.dll"
  ;参数入栈,参数从右往左入栈
  push 00646c72h
  push 6f57206fh
  push 6c6c6568h
  mov  ebx, esp
  push 00000065h
  push 6c746954h
  mov ecx, esp
  push MB_OK
  push ecx
  push ebx
  push NULL
LABEL1:
  mov  eax, 12345678h   ;12345678只是为了开辟一块内存好放api实际的地址,注入代码前会把这片内存进行api地址重定位
  call eax
  add  esp, 20
  retn  4   ;创建的远程线程的函数的参数默认值0平栈

Inject proc
  LOCAL @hWnd:HWND
  LOCAL @dwPID:DWORD
  LOCAL @hProcess:HANDLE
  LOCAL @pBuff:PVOID
  LOCAL @dwNumber:DWORD 
  LOCAL @hThread:DWORD 
  LOCAL @hUser32:DWORD 
  LOCAL @pfnMsgBox:DWORD 
  LOCAL @dwOld:DWORD 
    
  ;远程线程注入
  ;1.FindWindow
  invoke FindWindow, offset g_ClassName, NULL
  .if eax == NULL
    ret
  .endif
  mov @hWnd, eax
  
  ;2.获取进程pid
  invoke GetWindowThreadProcessId, @hWnd, addr @dwPID 
  
  ;3.打开进程
  invoke OpenProcess,PROCESS_ALL_ACCESS, FALSE, @dwPID
  .if eax == NULL
    ret
  .endif
  mov @hProcess, eax
  
  ;4.远程申请内存
  invoke VirtualAllocEx,@hProcess, NULL, 1000h, MEM_COMMIT, PAGE_EXECUTE_READWRITE
  .if eax == NULL
    jmp  SAFE_EXIT
  .endif
  mov @pBuff, eax
  
  ;修改内存保护属性,这是修改自己内存属性的版本,EX版本是修改目标内存属性的
  invoke VirtualProtectEx,@hProcess,offset InjectCode, 1000h, PAGE_EXECUTE_READWRITE, addr @dwOld
  ;这里可以加遍历模块列表进行判断是否有user32.dll,没有就加载,我只是写一个简单的demo
  ;API地址重定位
  invoke GetModuleHandle, offset g_User32
  mov @hUser32, eax
  invoke GetProcAddress,@hUser32, offset g_MessageBox
  mov @pfnMsgBox, eax
  mov esi, @hUser32
  sub eax, esi  ;offset
  add eax, esi  ;+base  
  mov ebx, offset LABEL1
  mov dword ptr [ebx+1], eax
  
  
  ;5.写入代码
  invoke WriteProcessMemory,@hProcess, 
                            @pBuff, 
                            offset InjectCode, 
                            offset Inject - offset InjectCode, 
                            addr @dwNumber
  .if !eax
    jmp   SAFE_EXIT
  .endif
                            
  
  
  ;6.创建远程线程
  invoke CreateRemoteThread,@hProcess, NULL, 0, @pBuff, NULL, 0, NULL
  .if eax == NULL
    jmp   SAFE_EXIT
  .endif
  mov @hThread, eax
  
SAFE_EXIT: 
  .if @hThread != NULL
    invoke CloseHandle, @hThread
  .endif
  
  .if @hProcess != NULL
    invoke CloseHandle,@hProcess
  .endif
  
  ret

Inject endp

start:

	invoke GetModuleHandle,NULL
	mov		hInstance,eax

  invoke InitCommonControls
	invoke DialogBoxParam,hInstance,IDD_DIALOG1,NULL,addr DlgProc,NULL
	invoke ExitProcess,0

;########################################################################

DlgProc proc hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM

	mov		eax,uMsg
	.if eax==WM_INITDIALOG

	.elseif eax==WM_COMMAND
    mov eax, wParam
    .if ax == IDB_INJECT;如果点击按钮就调用函数
      invoke Inject
    .endif
	.elseif eax==WM_CLOSE
		invoke EndDialog,hWin,0
	.else
		mov		eax,FALSE
		ret
	.endif
	mov		eax,TRUE
	ret

DlgProc endp



end start

2 把注入代码用汇编写,然后生成动态库,把动态库的代码注入到目标进程

1 用radAsm生成汇编代码的dll
1.1创建一个dll工程
1.2在工程----工程选项-----链接中加上/entry:_DllMainCRTStartup@12
**注意:**加上dllmain入口点才能编译,而_DllMainCRTStartup@12在msvcrt.lib库中,但是radAsm的msvcrt.lib库是旧的,没有_DllMainCRTStartup@12,所以自己要去vc中找一个新的msvcrt.lib库去D:\RadASM\masm32\lib目录中进行替换,如果是静态库需要用libc.lib
**说明:**如果不是dll,必须指明入口点,如果不指明的话,程序不会在调用入口初始化程序,这样的话有些api是用不了的,因为这些api必须要初始化后功能才是正确的
代码如下
injectDll.Asm

.386
.model flat, stdcall  ;32 bit memory model
option casemap :none  ;case sensitive


include windows.inc
includelib msvcrt.lib
include kernel32.inc
includelib kernel32.lib

.code


InjectCode proc
  push 00646c72h
  push 6f57206fh
  push 6c6c6568h
  mov  ebx, esp
  push 00000065h
  push 6c746954h
  mov ecx, esp
  push MB_OK
  push ecx
  push ebx
  push NULL
LABEL1:
  mov  eax, 12345678h
  call eax
  add  esp, 20
  retn  4
InjectCode endp



GetCodeSize proc
  
  mov eax, GetCodeSize -  InjectCode
  ret

GetCodeSize endp
end

injectDll.Def

 EXPORTS
  InjectCode
  GetCodeSize

编译连接生成dll,我另外生成了一个obj用来确定需要重定位地址偏移位置
2在vs中写注入流程代码,核心代码如下

extern "C" int _stdcall GetCodeSize();//这个是obj的函数,obj可以直接加载到vs工程中,函数声明一下就可以使用,这也是c调汇编比较简单的方式

void CMFCInjectionDlg::OnBnClickedInjection()
{
    //首先得到点击的位置
    POSITION pos = m_listCtrl.GetFirstSelectedItemPosition();
    if (pos == NULL)
    {
        MessageBox("请至少选择一项或者遍历进程", "选择", MB_ICONEXCLAMATION);
        return;
    }
    //得到行号,通过POSITION转化
    int nId = (int)m_listCtrl.GetNextSelectedItem(pos);
    //得到列中的内容(0表示第一列,同理1,2,3...表示第二,三,四...列)
    string str = m_listCtrl.GetItemText(nId, 0);

    DWORD dwProcessId = atoi(str.c_str());
	//1打开进程
    HANDLE hProces = OpenProcess(
        PROCESS_ALL_ACCESS,
        FALSE,
        dwProcessId);

    // 2 在目标进程申请内存,写入注入代码
    LPVOID pDllPathOfDstProc =
        VirtualAllocEx(
        hProces,
        NULL, //系统自动分配地址
        0x1000, //申请内存大小
        MEM_COMMIT, //物理映射
        PAGE_READWRITE //可读可写
        );
    if (pDllPathOfDstProc == NULL)
    {
        AfxMessageBox(_T("申请内存失败"));
        return;
    }

    //获取目标进程的函数地址
    HMODULE hUser = GetModuleHandle("user32.dll");
    LPVOID pMessageBoxA = GetProcAddress(hUser, "MessageBoxA");
    if (pMessageBoxA == NULL)
    {
        AfxMessageBox(_T("获取MessageBoxA地址失败"));
        return;
    }
    int pBase = (int)hUser;
    int pDest = (int)pMessageBoxA;
    int pOffset = pDest - pBase;
    int pModifValue = pBase + pOffset;//获取api实际地址


    //重定位地址
    int nOffset = GetCodeSize();//获取要重定位位置偏移
    nOffset -= 4;//在这个位置修改
    HMODULE hModule = LoadLibrary("injectDll.dll");
    LPVOID pLoadLibrary = GetProcAddress(hModule, "InjectCode");
    if (pLoadLibrary == NULL)
    {
       AfxMessageBox(_T("获取InjectCode地址失败"));
       return;
    }
    DWORD dwOld2;
    VirtualProtect(pLoadLibrary, 0x1000, PAGE_EXECUTE_READWRITE, &dwOld2);    //修改内存属性
    int nAdder = (int)pLoadLibrary + nOffset;
    int* pAdder = (int*)nAdder;
    *pAdder = pModifValue;//重定位api地址

    //获取要注入代码的大小
    typedef int(*PFN_GetCodeSize)(void);
    PFN_GetCodeSize pfnGetCodeSize = (PFN_GetCodeSize)GetProcAddress(hModule, "GetCodeSize");
    if (pLoadLibrary == NULL)
    {
        AfxMessageBox(_T("获取MessageBoxA地址失败"));
        return;
    }
    DWORD nSize = pfnGetCodeSize();


    //修改目标内存属性
    DWORD dwOld;
    VirtualProtectEx(hProces ,pDllPathOfDstProc, 0x1000, PAGE_EXECUTE_READWRITE, &dwOld);

    DWORD dwBytestToWrite = 0;
    BOOL bRet = WriteProcessMemory(
        hProces,
        pDllPathOfDstProc,//写入内存的首地址
        pLoadLibrary,
        nSize,
        &dwBytestToWrite);
    if (!bRet)
    {
        AfxMessageBox(_T("写入路径失败"));
        return;
    }
    // 3) 创建远程线程,目标进程创建了一个线程,执行目标线程的线程回调函数
    HANDLE m_hRemoteThread = CreateRemoteThread(
        hProces,
        NULL,
        0,
        (LPTHREAD_START_ROUTINE)pDllPathOfDstProc, //在目标进程中的回调函数的地址
        NULL,//此时内存存放的是dll,这时候调用pLoadLibrary线程回调函数就会把dll当做参数传进去,就把dll加载进去了,
        0,
        NULL);
    if (m_hRemoteThread == NULL)
    {
        AfxMessageBox(_T("远程线程创建失败"));
    }

}
code_greenhand
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DLL的远程注入及卸载技术详解
lithe的Blog
10-14 3464
 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载,用户也就无法在资源管理器中删除这个DLL文件,真可谓
Win32学习笔记(19)私有内存的申请释放
wzprabbit的博客
03-05 1145
1.申请内存的两种方式: <1>通过VirtualAlloc/VirtualAllocEx(后面会介绍,两者在底层的实现相同)申请的: Private Memory <2>通过CreateFileMapping映射的: Mapped Memory 这个图我们已经熟悉了,不过物理页有着Map和Private两种。Map是公有物理页,Private是私有物理页。所以物理内存只分为两种一种是自己独占物理页,一种是和别人共享物理页。 2.内存申请与释放: LPV..
对抗远程注入汇编代码
08-29
Anti 对抗 远程 注入汇编代码。开阔一种思路吧
x86汇编实现一个注入
不会写代码的丝丽
11-07 1549
解决Process32Next找不到的问题 Process32NextW函数位于kernel32.inc 和kernel32.dll中,但是在Masm32 r11中却没有这Process32NextA版本,因此你需要自行修正 修正方式: 修改kernel32.inc声明 源文件 Process32FirstW PROTO STDCALL :DWORD,:DWORD Process32NextW PROTO STDCALL :DWORD,:DWORD 修改后 Process32First PROTO S.
windows sdk 学习笔记(7)
weixin_30555125的博客
04-21 69
代理函数:在windows下,应用程序都有自己的地址空间,它们只能调用自己地址空间的函数,所以在挂钩api之前,必须将一个可以代替api执行的函数的执行代码注入到目标进程,然后设法让目标进程对api的调用,改为对注入到目标进程中的自定义的函数的调用,此函数,即是“代理函数”(此代理函数和目标函数的签名,应完全相同) 通过把注入代码写到dll中,然后让目标进程加载这个dll,这即是所谓的dl...
windows sdk编程系列文章 ---- 利用APC实现向一个运行中的进程注入自己的代码
kidoom的专栏
05-21 626
理论: 关于APC概念方面的介绍,前面已经有专文详细的说明了,在这里不再重复了。本篇我们主要谈谈利用APC实现向一个运行中的进程注入自己的代码的用法。 向一个运行中的进程注入自己的代码,常见的办法有全局钩子,以及CreateRemoteThread实现的远程线程注入,如今远线程注入已经是泛滥成灾,杀毒软件对于远程线程已经做了检查和警示。 用户态代码想要更隐蔽地藏身于别的进程,就应
汇编】检测代码段的字节是否被修改
追逐光芒,追随内心
03-16 308
** XYClient.exe+711DC - C3 - ret XYClient.exe+711DD - 89 04 24 - mov [esp],eax XYClient.exe+711E0 - 8B 04 24 - mov eax,[esp] XYClient.exe+711E3 - 8A 00 - mov al,[eax] //获取代码数据 XYClient.exe+711E5 - 5A
showwindow 窗口不弹出_计算机自制操作系统(二0):Windows窗口界面---内存分配管理...
weixin_39760650的博客
10-27 172
我们的操作系统在生产出了桌面并成功驱动键盘鼠标之后,自然的目标就是制作Windows窗口了。在上一章中,我们的鼠标使用起来其实还有点问题。请看下图:那就是移动鼠标的时候,会破坏掉任务栏的图像 。这是什么原因呢?因为我们没有利用图层叠加显示技术。一、解决方案所谓图层叠加显示技术就是把整个屏幕要显示的元素全部规划到“窗口”的概念,每一个窗口可以看做一层(鼠标也是),制作窗口的时候需要把每层的图像数据都...
基于asmjit的汇编代码注入工具实现
qq_31548855的博客
04-25 943
代码】基于asmjit的汇编代码注入工具实现。
进程注入,解决了VirtualAllocEx在傀儡进程申请基地址内存失败的问题。
字节跳动
04-02 3280
本文所贴出的PoC代码将告诉你如何通过CreateProcess创建一个傀儡进程(称之为可执行程序A),并把dwCreationFlags设置为CREATE_SUSPENDED,然后把另一个可执行程序(称之为可执行程序B)的内容加载到所创建的进程空间中,最终借用傀儡进程(A)的外壳来执行可执行程序B的内容。同时这段代码也会告诉你如何手工对Win32可执行程序进行重定位处理,以及如何从进程空间中取消...
汇编代码远程注入
12-31
逆向调试的时候用的 汇编代码远程注入 写游戏辅助必备
Windows环境下32位汇编语言程序设计_随书光盘
06-19
× 《Windows环境下32位汇编语言程序设计》 × × 附书代码说明 × ××××××××××××××××××××××××××× 1. 编译器和链接器 本附书代码全部采用 MASM 格式编写,推荐使用 MASM32 软 件包作为...
Windows环境下32位汇编语言程序设计(最新琢石成器版)附属光盘
03-01
Windows环境下32位汇编语言程序设计 第2版(罗文斌) 完整光盘内容,包含每章内容的完整代码 本光盘所包含目录的说明 根目录下的 *.pdf ;附录A、B、C的电子版文档 Chapter02\Test ;测试编译环境 Chapter03\Hello...
Windows环境下32位汇编语言程序设计 第2版(罗文斌) 完整光盘
08-24
Windows环境下32位汇编语言程序设计 第2版(罗文斌) 完整光盘内容,包含每章内容的完整代码 本光盘所包含目录的说明 根目录下的 *.pdf ;附录A、B、C的电子版文档 Chapter02\Test ;测试编译环境 Chapter03\Hello...
Windows Socket API_采用修改汇编代码的方法 会将Drive.dll注入到所有进程中.zip
03-21
Windows Socket API_采用修改汇编代码的方法 会将Drive.dll注入到所有进程中.zip
代码注入的三种方法
12-02
代码注入不同的进程地址空间,然后在该进程的上下文中执行注入代码。本文将介绍三种方法: 1、Windows 钩子 2、CreateRemoteThread 和 LoadLibrary 技术 ——进程间通信 3、CreateRemoteThread 和...
第六课 代码注入汇编语言)
xuenixiang.com
09-10 1737
这节课的目标是把上节课的ThreadProc函数通过纯汇编语言注入到notepad.exe进程 等会要用到内联汇编,将汇编指令插入到C语言代码中,使用的工具可以是MASM,这里为了方便起见,我使用OllyDbg的汇编命令编写汇编代码 首先随便拿一个程序当做我们写汇编代码的载体,这里使用asmtest.exe当载体,载入od后,goto到401000写代码   把401000设为ei...
远程线程注入引出的问题
weixin_33713707的博客
08-30 551
远程线程注入引出的问题   一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码注入。后者...
软件安全之代码注入技术 向目标 PE 文件注入 DLL notepad lpk.dll 远程线程函数 提权函数 OpenProcess VirtualAllocEx
SKPrimin的博客
12-06 3428
实验 4 代码注入技术 引言 1、实验说明 代码注入是将用户代码注入到其他进程或者可执行文件中,实现拦截目标进程运行过程的关键信息、改变目标进程或可执行文件原本执行流程等目的 2、实验目的 本实验通过远程线程和输入表注入,向目标进程注入代码、向目标 PE 文件注入 DLL,以加深对代码注入技术的理解。 3、实验原理 课程第 6 讲代码注入技术 4、实验环境 Windows 7 系统、Visual Studio 6.0 及以上版本 5、实验内容 (1)远程线程注入 (2)利用 Detours 实现输入表注入
windows32位汇编语言程序设计.pdf
最新发布
01-17
Windows32位汇编语言程序设计.pdf” 是一本介绍在Windows操作系统下使用32位汇编语言进行程序设计的电子书。这本书主要涵盖了如何使用汇编语言来编写Windows下的应用程序和系统程序。它可以帮助读者了解如何利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值