寄存器注入

于 2019-10-24 23:22:26 发布
阅读量267 收藏
点赞数
分类专栏: 32位汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35426012/article/details/102734164
版权

注入优势
不需要远程创建线程API

API介绍

1挂起线程SuspendThread
2获取对方线程信息

BOOL GetThreadContext( 
    HANDLE hThread,           //线程句柄
    LPCONTEXT lpContext );    //传入传出参数:设备上下文
    
//注意:Context获取的寄存器信息需根据 Context.ContextFlags来决定
//如果ContextFlags为 CONTEXT_INTEGER:拿到的是普通寄存器 eax ebx ecx edx esi edi
//如果ContextFlags为 CONTEXT_CONTROL:拿到的是特殊寄存器 ebp eip eflags esp SegSs SegCs

3设置线程寄存器信息SetThreadContext,注意点:如果获取的不是主线程的话会出现有时能注入有时不能注入
4恢复线程ResumeThread

代码示例

.386
.model flat, stdcall  ;32 bit memory model
option casemap :none  ;case sensitive

include inject.inc

.code
inject_code:
  pushad		;运行注入代码前请保存寄存器环境
  pushfd
  push 00646c72h
  push 6f57206fh
  push 6c6c6568h
  mov  ebx, esp
  push 00000065h
  push 6c746954h
  mov ecx, esp
  push MB_OK
  push ecx
  push ebx
  push NULL
LABEL1:
  mov  eax, 12345678h
  call eax
  add esp,20
  popfd		;运行完注入的代码之后还原寄存器环境,然后跳转回原来的位置继续执行代码
  popad
REL:		;跳转回原来的位置继续执行
  mov eax, 12345678h  ;注意寄存器eax的破坏,最好不要用寄存器,可以直接写二进制代码,这样的话就用不上寄存器,也就不会破坏寄存器,因为用jmp 内存还是立即数跳转的是偏移,只有jmp 寄存器才会是当直接的地址跳转,所以我为了方便就写寄存器了,这样有可能会崩溃,因为你修改了寄存器,不知道会发送什么事情
  jmp eax
  ret
;



start:

	invoke GetModuleHandle,NULL
	mov		hInstance,eax

  invoke InitCommonControls
	invoke DialogBoxParam,hInstance,IDD_DIALOG1,NULL,addr DlgProc,NULL
	invoke ExitProcess,0

;########################################################################

DlgProc proc hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM
  LOCAL @dwTid:dword
  LOCAL @dwPID:dword
  LOCAL @dwOld:dword
  LOCAL @dwWriteBytes:dword
  LOCAL @hThread:HANDLE
  LOCAL @hProcess:HANDLE
  LOCAL @context:CONTEXT
  LOCAL @pBuffer:dword
  LOCAL @hWnd:HWND
  LOCAL @hSnapshot:HANDLE
  LOCAL @te:THREADENTRY32
  LOCAL @mymd:MODULEENTRY32
  LOCAL @pfnMsgBox:DWORD
  LOCAL @hUser32:DWORD 

	mov		eax,uMsg
	.if eax==WM_INITDIALOG

	.elseif eax==WM_COMMAND
	  mov eax,wParam
	  .if ax == BTN_INJECT
	  
	    ;拿到窗口句柄
      invoke FindWindow, offset g_ClassName, NULL
      .if eax == NULL
        ret
      .endif
      mov @hWnd, eax
      
      ;2.获取进程pid
      invoke GetWindowThreadProcessId, @hWnd, addr @dwPID
      mov @dwTid,eax	;这个api返回值就是创建窗口的线程ID也就是主线程ID
  
      ;3.打开进程
      invoke OpenProcess,PROCESS_ALL_ACCESS, FALSE, @dwPID
      .if eax == NULL
        ret
      .endif
      mov @hProcess, eax
      
      ;遍历模块列表拿到calc的模块基址
      ;创建进程快照 
      invoke CreateToolhelp32Snapshot,TH32CS_SNAPMODULE,@dwPID
      .if eax == INVALID_HANDLE_VALUE
        jmp SAFE_EXIT
      .endif
      
      mov @hSnapshot,eax                              ;保存进程快照
      mov @mymd.dwSize,sizeof @mymd


      ;拿到首个信息结构体  
      invoke  Module32First,@hSnapshot,addr @mymd
      .while 1
        .if eax != 1                                   ;判断是否拿到模块
          jmp SAFE_EXIT
        .endif
      
        invoke StrCmpCA,offset g_User32,addr @mymd.szModule
        .if eax == 0
          push @mymd.modBaseAddr                       ;将模块基址存入栈内
          .break
        .endif
        invoke Module32Next,@hSnapshot,addr @mymd      ;查找下一个模块
        
      .endw
      
      ;修改内存保护属性
      invoke VirtualProtect,offset inject_code, 1000h, PAGE_EXECUTE_READWRITE, addr @dwOld
      
      ;API地址重定位
      invoke GetModuleHandle, offset g_User32
      mov @hUser32, eax
      invoke GetProcAddress,@hUser32, offset g_MessageBox
      mov @pfnMsgBox, eax
      mov esi, @hUser32
      sub eax, esi  ;offset
      pop esi                                         ;获取进程模块的基址
      add eax, esi  ;+base                            ;遍历模块列表
      mov ebx, offset LABEL1
      mov dword ptr [ebx+1], eax
      
      
      ;4.打开线程
      invoke OpenThread,THREAD_ALL_ACCESS, FALSE, @dwTid
      .if eax == NULL
        ret
      .endif
      mov @hThread, eax
      
      ;5.挂起线程
      invoke SuspendThread, eax    
      
      mov @context.ContextFlags,CONTEXT_CONTROL
      ;6.保存eip
      invoke GetThreadContext, @hThread, addr @context
      
      ;7.申请内存
      invoke VirtualAllocEx,@hProcess, NULL, 1000h, MEM_COMMIT, PAGE_EXECUTE_READWRITE
      mov @pBuffer, eax
      
      ;9.重定位
      mov eax,offset REL
      mov ebx,@context.regEip
      mov [eax+1],ebx		;重定位之后,运行完注入代码就会跳转到原来的位置继续执行代码,不影响原来的程序运行
      
      ;10.写入代码
      invoke WriteProcessMemory,@hProcess, @pBuffer, inject_code, start-inject_code, addr @dwWriteBytes

      ;11.修改eip为申请的缓冲区地址
      mov eax, @pBuffer
      mov @context.regEip, eax
      invoke SetThreadContext, @hThread, addr @context
      
      ;12.恢复线程
      invoke ResumeThread, @hThread
      
      
SAFE_EXIT:
      .if @hThread != NULL
        invoke CloseHandle, @hThread
      .endif
  
      .if @hSnapshot != NULL
        invoke CloseHandle, @hSnapshot
      .endif
      
      .if @hProcess != NULL
        invoke CloseHandle,@hProcess
      .endif
      
    .endif
	.elseif eax==WM_CLOSE
		invoke EndDialog,hWin,0
	.else
	mov		eax,FALSE
	ret
	.endif
	mov		eax,TRUE
	ret

DlgProc endp

end start

利用寄存器注入实现代码加密设计思路

编译后加密
流程:
1初始化函数或者在全局区,反正就是在代码入口前设置好筛选机异常,在筛选机异常回调里,将eip改成代码的位置
2记得第一行留个位置用来编译后好修改成int3的,随便写个mov eax,12h,自己记住多大,然后在处理异常函数里面跳过这个字节执行
3编译好文件
4打开二进制文件将代码段第一条预留的指令改成 int3指令,这样你即使nop调的话,其他的指令就会变成花指令,执行肯定错误
优势:
由于调试器会自动在入口下断点,这样没办法单步,所以实现了反调试

code_greenhand
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
天使也掉毛
10-21 4474
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
通过修改EIP寄存器实现32位程序的DLL注入
weixin_30553837的博客
05-26 228
功能:通过修改EIP寄存器实现32位程序的DLL注入 <如果是64位 记得自己对应修改汇编代码部分> 原理:挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,但是和平时说的远程代码注入注入的逻辑上不同,但是同时都是...
硬件中断错误寄存器介绍
07-12
硬件中断错误寄存器介绍
汇编学习Windows窗体(1)
weixin_30952535的博客
08-26 101
.386.model flat,stdcalloption casemap:noneinclude windows.incinclude gdi32.incincludelib gdi32.libinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.lib.data?hInstance dd...
Dll注入:x86/X64 SetThreadContext 注入
aijuzhou1959的博客
02-24 494
在《Windows核心编程》第七章说到了线程优先级等知识,其中谈到了ThreadContext线程上下背景文。 其中介绍了GetThreadContext函数来查看线程内核对象的内部,并获取当前CPU寄存器状态的集合。 BOOL GetThreadContext ( HANDLE hThread, PCONTEXT pContext); 若要调用该函数,只需指...
ptrace注入实例
01-01
1. **ptrace系统调用**:ptrace是Unix-like操作系统中提供的一种强大的功能,它允许一个进程暂停、继续、读取和修改另一个进程的内存、寄存器,甚至可以拦截系统调用。ptrace的工作模式包括PTRACE_PEEKTEXT/PTRACE_...
寄存器oled.zip
07-26
OLED显示技术依赖于像素单元中的有机材料,当电荷注入时会发光,无需背光,因此具有高对比度、快速响应和低功耗的特点。在STM32F1上驱动OLED,需要理解以下关键知识点: 1. **I2C或SPI通信**:STM32F1与OLED之间最...
C++无检测内核注入纯源码.zip
06-07
此外,为了防止被系统监控工具发现,注入程序可能会使用低级别API调用或者直接操作硬件寄存器。 在“内核注入”这个主题中,有以下几个关键知识点: 1. **内核模式与用户模式**:了解Windows操作系统的这两种执行...
远程注入 注入工具
01-26
6. **执行注入代码**:一旦代码被写入,就需要触发其执行,可能是通过修改指令指针寄存器(EIP/RIP),或者通过创建的线程执行。 在提供的文件中,`DllTool.dll`很可能是用于注入的DLL文件,其中包含了待注入的代码...
向其他进程注入代码的三种方法
haizhongyun的专栏
11-09 3595
原版地址:http://www.codeproject.com/threads/winspy.asp?df=100&forumid=16291&select=1025152&msg=1025152 下载整个压缩包 下载WinSpy  作者:RobertKuster 翻译:袁晓辉(hyzs@sina.com) 摘要:如何向其他线程的地址空间中注入代码并在这个线程的上下文中执行之。 目录:
关于GetThreadContext
nifgod的专栏
10-27 5736
<br /><br />#include <Windows.h><br />#include <stdio.h><br />#include <tlhelp32.h><br /> <br />//默认线程栈大小1M,32位系统进程可用空间为2G<br />//所以一个进程最多有2G/1M=2048个线程<br />#define MAXTHREADCOUNT 2048<br /> <br />void ListAllThreadInProc(DWORD *pdwThread, const DWORD dwP
修改线程上下文注入DLL
逐天实验室 ( SCLB )
11-03 1404
修改线程上下文,注入ShellCode加载dll
R3修改线程上下文EIP实现的无模块注入
zfdyq
11-07 4029
#include "stdafx.h" #include #include using std::cin; DWORD dwOldEip = 0; DWORD funRemote = 0; BYTE shellCode[25] = { 0x68, 0x78, 0x56, 0x34, 0x12, //push
[Win32]一个调试器的实现(四)读取寄存器和内存
zhangyanquen的技术专栏
12-10 899
在前几篇文章中,我实现的那个调试器只能被动接收调试事件并输出这些事件的信息。现在,我要将它修改成可以接收命令,并根据命令对被调试进程进行各种操作。首先从最基本的操作开始。   获取寄存器的值 每个线程都有一个上下文环境,它包含了有关线程的大部分信息,例如线程栈的地址,线程当前正在执行的指令地址等。上下文环境保存寄存器中,系统进行线程调度的时候会发生上下文切换,实际上就是将一个线程的上下文环
Msp430单片机时钟系统与寄存器配置解析
DCO.0 至 DCO.4 位定义了 8 种不同的频率选项,通过改变注入到 DCO 的电流来调节频率。MOD.0 至 MOD.4 位则控制 DCO 周期内的频率切换,通过在 32 个 DCO 周期内插入 Fdco+1 周期,从而实现频率的精细调整。如果 DCO...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值