滴水逆向三期 内存注入/无模块注入

最新推荐文章于 2023-08-18 23:27:35 发布
最新推荐文章于 2023-08-18 23:27:35 发布
阅读量3k 收藏 24
点赞数 4
分类专栏: windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44803739/article/details/112250553
版权

找文章看了一下, 讲的很好, 但是地址没了…尴尬, 03年的技术, 大致内容就是介绍了两种注入技术, 一个为常规的远程线程注入, 另一个就是内存注入. 只不过文章思路是只插入一段代码, 也就是编写shellcode. 而无模块注入则是将模块整体以内存写入的形式加载实现隐藏 .
杀软依然秒杀…但是我封装起来写后就检测不到, 特征码竟然消失了…

原理与问题

思路是将自己复制一份加载到目标进程中, 即注入进程和寄生程序是一个东西.不过想想也知道, 注入dll也是一个原理, 无非是拉伸之后再贴到目标进程, 最后依然是起远程线程设置入口点.
但重点在于, 寄生程序IAT中的地址与目标进程的地址可能不一致, 或者没有加载相关dll, 这个时候就要根据目标进程的IAT修复寄生进程的IAT.
在写这个的时候遇到了一些问题如下:

  1. 难道LoadLibrary和GetPrcAddress的地址都一样吗??
    不一样的话岂不是要从文件读dll再拉伸然后按照宿主进程的基址重定位后再读地址

实在是过于麻烦了…带着这个问题, 我们找到了如下答案

https://bbs.pediy.com/thread-259087.htm
在这里插入图片描述

又因为每个程序都用到了LoadLibrary和GetProcAddress那么就可以放心大胆的用了.

  1. char szBuffer[256] = 0; printf
    初始化操作字符串其实用了memset这个函数, 由于软件编译版本不同, 这个函数所处的dll有些许差异, 或者在一个窗口程序用了printf, 别人都没有加载这个dll用了不就直接蹦了, 所以这两行代码可以帮助我们检测自己写的修复IAT是否可用.

步骤

  1. 获取自身Buferr
  2. 目标进程中申请空间
  3. 修复重定位表, 如果没有则直接失败(没有重定位的EXE)
  4. 写入数据
  5. 计算线程函数入口地址并开启远程线程

此时进入目标进程, 线程函数首先需要修复IAT表, 绝对要注意, 进入了线程函数之后修复IAT之前, 当然包括修复IAT都不可以使用非系统必要dll的函数.

代码

给出主体与修复重定位和IAT表的代码

主体代码

//通过GetCurrent得到的句柄是假句柄, 只对当前进程有用, 无需CloseHandle;
//获取自身Buffer, 当然这里完全可以换成从文件读一个dll然后展开注入, 思路一样
Process::GetProcInfo(&curPi);
sizeOfImage = Pe::GetSizeOfImage(::GetModuleHandleA(NULL));
pImageBuffer = malloc(sizeOfImage);
memcpy(pImageBuffer, ::GetModuleHandleA(NULL),sizeOfImage);

//申请空间
hostPi.hProcess = Process::OpenProcessM(hostName);
if (!(allocBaseAddr = Process::VirtualAllocate(
	hostPi.hProcess,
	NULL,
	sizeOfImage,
	PAGE_EXECUTE_READWRITE
)))
	return NULL;

//可能出现无重定位的exe, 直接返回失败
if (!Pe::RebaseRelocation(pImageBuffer, (DWORD)allocBaseAddr))
{
	::VirtualFreeEx(hostPi.hProcess, allocBaseAddr, NULL, MEM_RELEASE);
	return NULL;
}

//写入修复重定位的Buffer, 并计算起始地址开远程线程
::WriteProcessMemory(hostPi.hProcess, allocBaseAddr, pImageBuffer, sizeOfImage, NULL);
crtStartUp = (LPTHREAD_START_ROUTINE)((DWORD)allocBaseAddr + (DWORD)injectThread - (DWORD)GetModuleHandle(NULL));
hostPi.hThread = ::CreateRemoteThread(
	hostPi.hProcess,
	NULL,
	NULL,
	crtStartUp,
	allocBaseAddr,
	NULL,
	NULL);

//释放句柄, 栈空间
::WaitForSingleObject(hostPi.hThread, INFINITE);
//如果为完全释放, 大小必须为空, 系统会按照分配时的大小释放空间
::VirtualFreeEx(hostPi.hProcess, allocBaseAddr, NULL, MEM_RELEASE);
free(pImageBuffer);
Process::CloseHandles(hostPi);

线程函数与调用

void InjectFunc()
{
	char szTemp[256] = { 0 };
	printf("测试程序..如果IAT未修复则无法运行.\n");
	//这两行程序可以测试IAT是否修复成功, 字符串初始化操作调用memset

	for (int i = 0; i < 3; i++)
		MessageBoxA(0, 0, "注入成功", 0);
}


DWORD WINAPI ThreadProc(LPVOID lparams)
{
	if (!Pe::RestoreIAT(lparams))
	{
		MessageBoxA(NULL, NULL, "修复重定位失败!", NULL);
		return -1;
	}
	InjectFunc();
	return 1;
}

int main()
{
    CHAR hostName[] = "demo.exe";
    injector::InjectThrowMemory(hostName, (LPTHREAD_START_ROUTINE)(ThreadProc));
	printf("内存注入线程结束, 任意键退出.\n");
	system("pause");
    return 0;
}

修复重定位

PIMAGE_NT_HEADERS Pe::GetNtHeaders(LPVOID pBuffer)
{
	return (PIMAGE_NT_HEADERS)((DWORD)pBuffer + *((DWORD*)((DWORD)(pBuffer)+0x3c)));
}

BOOL Pe::RebaseRelocation(LPVOID pImageBuffer, DWORD newImageBase)
{
	DWORD rvaBaseRelocation = 0;
	PIMAGE_DATA_DIRECTORY pDataDirectory = NULL;
	PIMAGE_BASE_RELOCATION pBaseRelocation = NULL;
	PIMAGE_NT_HEADERS pNtHeaders = NULL;
	pNtHeaders = GetNtHeaders(pImageBuffer);
	pDataDirectory = pNtHeaders->OptionalHeader.DataDirectory;
	rvaBaseRelocation = (*(pDataDirectory + 5)).VirtualAddress;
	if (!rvaBaseRelocation)
	{
		MessageBoxA(NULL, "软件无重定位!!! 无法更改ImageBase", "Error", NULL);
		return FALSE;
	}
	pBaseRelocation = (PIMAGE_BASE_RELOCATION)((DWORD)pImageBuffer + rvaBaseRelocation);
	DWORD foaOfData = 0;
	DWORD rvaOfData = 0;
	DWORD currentBlockItems = 0;
	DWORD foaOfBlock = 0;
	DWORD differenceOfImageBase = 0;
	DWORD addressOf_rvaOfData = 0;
	DWORD* pFarAddress = NULL;
	differenceOfImageBase = newImageBase - pNtHeaders->OptionalHeader.ImageBase;
	pNtHeaders->OptionalHeader.ImageBase = newImageBase;
	while (pBaseRelocation->SizeOfBlock)
	{
		//要修改的数据大表在文件中的偏移 大表 + word 型偏移
		foaOfBlock = (DWORD)pBaseRelocation - (DWORD)pImageBuffer;
		currentBlockItems = (pBaseRelocation->SizeOfBlock - 8) / 2;	//word 表示
		addressOf_rvaOfData = pBaseRelocation->VirtualAddress;
		while (--currentBlockItems)
		{
			rvaOfData = ((*(WORD*)(foaOfBlock + (DWORD)pImageBuffer + 8)) & 0x0fff) + addressOf_rvaOfData;
			pFarAddress = (DWORD*)(rvaOfData + (DWORD)pImageBuffer);
			*pFarAddress += differenceOfImageBase;
			foaOfBlock += 2;
		}
		pBaseRelocation = (PIMAGE_BASE_RELOCATION)((DWORD)pBaseRelocation + pBaseRelocation->SizeOfBlock);
	}
	return TRUE;
}


BOOL Pe::RestoreIAT(LPVOID pImageBuffer)
{
	PIMAGE_NT_HEADERS pNtHeaders = NULL;
	PIMAGE_IMPORT_DESCRIPTOR pImport = NULL;
	HMODULE hModule = 0;
	DWORD rvaImport = 0;
	DWORD rvaName = 0;
	DWORD rvaOriginalThunk = 0;
	DWORD rvaFirstThunk = 0;
	DWORD originalValue = 0;
	LPVOID pFirstValue = NULL;
	DWORD ordinalOfFunc = 0;
	CHAR* pFuncNameAddr = NULL;
	DWORD oldProtect = 0;
	
	pNtHeaders = GetNtHeaders(pImageBuffer);
	rvaImport = (*(pNtHeaders->OptionalHeader.DataDirectory + 1)).VirtualAddress;
	pImport = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pImageBuffer + rvaImport);

	//以OriginalFirstThunk为基准找到函数名/序号
	//将新值补充到FirstThunk对应的ThunkValue中
	while (rvaOriginalThunk = *((DWORD*)pImport))
	{
		rvaFirstThunk = *((DWORD*)pImport + 4);
		rvaName = pImport->Name;
		if (!(hModule = ::LoadLibraryA((CHAR*)(DWORD)pImageBuffer + rvaName)))
		{
			//这一句不能加, printf 的dll可能没加载导致程序异常退出.
			//printf("加载dll失败 LastError: %d", GetLastError());
			return FALSE;
		}
		//printf("DLL's name: %s\n", (char*)((DWORD)pImageBuffer + rvaName));
		while (originalValue = *(DWORD*)((DWORD)pImageBuffer + (DWORD)rvaOriginalThunk))
		{
			pFirstValue = (LPVOID)((DWORD)pImageBuffer + rvaFirstThunk);
			VirtualProtect(pFirstValue, 4, PAGE_READWRITE, &oldProtect);
			if ((originalValue & 0x80000000) == 0x80000000)
			{
				ordinalOfFunc = (originalValue & 0x7FFFFFFF);
				*(DWORD*)pFirstValue = (DWORD)GetProcAddress(hModule, MAKEINTRESOURCEA(ordinalOfFunc));
			}
			else
			{
				pFuncNameAddr = (CHAR*)((DWORD)pImageBuffer + originalValue + 2);
				*(DWORD*)pFirstValue = (DWORD)GetProcAddress(hModule, pFuncNameAddr);
			}
			rvaOriginalThunk += 4;
		}
		pImport++;
	}
	return TRUE;
}
四位
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
隐藏模块(无模块注入
hambaga的博客
08-12 3166
模块隐藏那节课要求完成两个作业,都是隐藏模块,第一种方式是这样的: 这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位表了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大的错误。 任务管理器中只会看到控制台的进程,看不到dbg
源码解析DLL自卸载无模块注入
燕十二的BLOG
11-14 6078
对windows安全比较熟悉的同学对模块注入应该都比较了解,很多病毒、木马、外挂都会用到,无模块注入应用得则比较少。      无模块注入的好处是DLL注入进去后,确实已经不以模块的形式存在了,用任何进程模块查看工具,都找不到注入进去的DLL。因为它已经变为一块纯堆内存,跟EXE主模块里申请的堆没有任何差别。      这里讲的一种无模块注入的方法,能够让DLL自身实现这样的功能,无需外部
C++驱动无模块注入代码
12-10
驱动无模块注入代码
驱动开发:内核RIP劫持实现DLL注入
CSDN
06-16 7543
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
N种内核注入DLL的思路及实现
lwglucky的专栏
03-18 7503
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。     若
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
Windows进程常用DLL模块注入技术
12-23
课程结合多种Windows进程常用DLL注入技术。远程线程注入APC注入,异步调用过程,向目标线程插入待执行任务从而完成注入。窗口消息注入,指定窗口进程注入,与全局钩子注入类似。环境块注入,获取进程上下文信息,直接性修改程序执行流程完成注入。进程入口点注入,在程序初始化的时机前将dll模块文件注入至目标主线程。进程调试级注入,涉及调试器相关功能调用知识点dll模块重定位内存注入,模拟操作系统加载PE文件方式,直接将dll文件内存数据写入目标进程并执行。导入表注入,涉及PE相关知识点,增加区段,移动导入表,增加导入表、增加导出函数,修复表项数据等。内核驱动级Dll模块注入技术,内核驱动入门扩展。
驱动无模块注入dll
鬼手的博客
12-10 9275
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
内存模块注入DLL易语言源码
09-19
将自身的功能DLL加载进资源中,然后编译成为注入DLL,然后把注入DLL注入到指定的程序中,该注入DLL就会把你的功能DLL采用重定位的方式注入到进程中,并把注入DLL自身卸载,实现无API无ldr无vad记录注入。最有效化隐藏自身功能DLL。
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入
最新发布
06-23
CC++ 进程无模块内存注入[x86x64] Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高 1
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期课件(全)
04-03
滴水逆向三期所有课件,需要的速度下载,全部课件,是xls格式的,也就是视频里的excel课件,用的7z最小体积压缩,方便下载!
滴水逆向三期课件(全套)
03-25
滴水全套课件配合视频讲解,高效学习,下载就不亏!!
win10 x64实现内存注入DLL
weixin_41725706的博客
11-29 2223
win10 x64内存注入DLL,可以躲避相关api检测模块
Windows内存注入(前置原理)
qq_43147121的博客
08-18 322
我们重设的eip可以指向我们插入的内存或是注入的dll地址,在执行我们的代码后在跳转回原先的eip位置(这里有很多种方式,也可以继续上面的操作吧eip设回去,也可以通过远跳转回去都可以)通过Windows提供的获取线程上下文api可以获取到线程当前的寄存器信息,这样我们就可以先暂停线程然后重设eip的值然后将我们更新后的上下文设置到线程里,在让其运行起来。:此函数用于减少目标线程的挂起计数,是其恢复争抢时间片。:此函数用于让目标线程挂起。:此函数用于获取线程上下文。:此函数用于重设线程上下文。
模块注入示例
StanfordZhang的专栏
09-21 3130
原出处不详,作者见谅。 #include typedef struct _REMOTE_PARAMETERS { HWND hwnd; LPSTR lpszText; LPSTR lpszCaption; int nType; }REMOTE_PARAMETERS,*PREMOTE_PARAMETERS; //提升权限 BOOL GetdebugPrivilege() { BOOL
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
07-05
滴水逆向是指通过逆向工程的手段对软件进行分析和研究的过程。滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载课件,学习者可以在没有网络连接的情况下随时查看和学习课程内容,从而提高学习的便利性和效果。 CC源码是指开放源代码的软件项目或应用程序。CC源码通常是直接提供给用户,使他们可以查看、修改和运行软件的源代码。通过查看CC源码,开发者可以了解软件的内部结构和功能实现方式,从而更好地理解和定制软件。 滴水逆向三期课件下载和CC源码提供了学习者学习滴水逆向技术的重要资源。通过研究课件和源码,学习者可以深入了解滴水逆向的理论和实践知识,提高逆向工程能力,并且可以在实际项目中应用这些知识和技巧。这对于提高软件开发和安全评估的能力都具有重要意义。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

四位

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值