好久没弄这个玩意了,感觉有些过时了,但是这两天突然想到了这个,突然发现有些疑问要解决,所以回过头来看看这个。
这个就是无dll的远程线程注入代码,在注入函数里我把messageboxA这个函数注释掉了,因为按我原来的理解,messageboxA在这里被编译成了函数的地址,既然user32。dll在每个进程里函数的映射地址都是一样的,那么应该没问题啊,但是事实是把那个注释去掉后运行就无情的报错了。
没办法,看下汇编代码吧。
long m1=(long)(PROC)MessageBoxA;
00401170 mov eax,[__imp__MessageBoxA@16 (004242b4)]
00401175 mov dword ptr [ebp-20h],eax
这段汇编的代码是取messageboxA的地址,对应的汇编代码是取004242b4这个地址中的值到eax里,发现问题所在了,在004242b4这个地址上。我们知道,每个模块对应一个pe文件,文件里有IAT这个函数导入表,当我们的程序需要调用某个库里的函数时,系统便去IAT里去这个函数符号的地址,地址中的值便是该函数在内存中映射的真实地址,去掉注释之所以报错是004242b4这个地址在本地线程里,而不是在远程线程里。进程间都是独立的,你拿着本地的地址在远程进程调用当然会报错了。
好了,疑问解决了,本文有不足之处,还望大家多多指正。