再谈远程线程注入

      好久没弄这个玩意了，感觉有些过时了，但是这两天突然想到了这个，突然发现有些疑问要解决，所以回过头来看看这个。

#include<stdio.h> #include"windows.h" typedef struct{ DWORD address; char a[10]; }info; typedef int (_stdcall *msgbox)(HWND, LPCTSTR, LPCTSTR, UINT); DWORD WINAPI t(LPVOID p){ info *p1=(info*)p; msgbox m=(msgbox)p1->address; m(0,p1->a,p1->a,0); //MessageBoxA(0,p1->a,p1->a,0); while(1); return 0; } main() { HANDLE ph=::OpenProcess(PROCESS_ALL_ACCESS,false,1956); void *s; s=::VirtualAllocEx(ph,0,1024*4,MEM_COMMIT,PAGE_EXECUTE_READWRITE); ::WriteProcessMemory(ph,s,t,1024*4,0); info i; ZeroMemory(&i,sizeof(i)); ::strcpy(i.a,"a"); HINSTANCE m=::LoadLibrary("user32.dll"); i.address=(DWORD)::GetProcAddress(m,"MessageBoxA"); long m1=(long)(PROC)MessageBoxA; info *s1; s1=(info *)::VirtualAllocEx(ph,0,sizeof(info),MEM_COMMIT,PAGE_READWRITE); ::WriteProcessMemory(ph,s1,&i,sizeof(info),0); HANDLE hrt=::CreateRemoteThread(ph,0,0,(LPTHREAD_START_ROUTINE)s,s1,0,0); }

     这个就是无dll的远程线程注入代码，在注入函数里我把messageboxA这个函数注释掉了，因为按我原来的理解，messageboxA在这里被编译成了函数的地址，既然user32。dll在每个进程里函数的映射地址都是一样的，那么应该没问题啊，但是事实是把那个注释去掉后运行就无情的报错了。

      没办法，看下汇编代码吧。

long m1=(long)(PROC)MessageBoxA;
00401170   mov         eax,[__imp__MessageBoxA@16 (004242b4)]
00401175   mov         dword ptr [ebp-20h],eax
      这段汇编的代码是取messageboxA的地址，对应的汇编代码是取004242b4这个地址中的值到eax里，发现问题所在了，在004242b4这个地址上。我们知道，每个模块对应一个pe文件，文件里有IAT这个函数导入表，当我们的程序需要调用某个库里的函数时，系统便去IAT里去这个函数符号的地址，地址中的值便是该函数在内存中映射的真实地址，去掉注释之所以报错是004242b4这个地址在本地线程里，而不是在远程线程里。进程间都是独立的，你拿着本地的地址在远程进程调用当然会报错了。

       好了，疑问解决了，本文有不足之处，还望大家多多指正。