C语言0xc0000142错误,[求助]C语言 傀儡进程替换报错0Xc0000005 求大神帮忙看看

最新推荐文章于 2023-06-24 20:46:56 发布
最新推荐文章于 2023-06-24 20:46:56 发布
阅读量292 收藏
点赞数
文章标签: C语言0xc0000142错误

创建了一个CREATE_SUSPENDED的傀儡进程,用幕后进程替换了傀儡进程之后报错0xc0000005,弄了好几天也没弄懂,我裂开了,哪位大侠路过帮帮忙

WIN7 x64系统,vs2017 x86编译器,两个进程都是32位进程。typedef NTSYSAPI NTSTATUS(__stdcall *ZwUnmapViewOfSection)(HANDLE, PVOID);

int main()

{

//加载ZwUnmapViewOfSection函数

HMODULE hModule = GetModuleHandle(L"ntdll.dll");

if (hModule == NULL)

return FALSE;

ZwUnmapViewOfSection UnmapViewOfSection = (ZwUnmapViewOfSection)GetProcAddress(hModule, "ZwUnmapViewOfSection");

//将幕后进程读取到缓存

FILE* pFile = NULL;

_wfopen_s(&pFile, filePath1, L"rb");

if (pFile == NULL)

{

MessageBox(0, L"fopen_s fail", 0, MB_OK);

return (INT_PTR)TRUE;

}

fseek(pFile, 0, SEEK_END);

DWORD szFile = ftell(pFile);

fseek(pFile, 0, SEEK_SET);

BYTE* pFileBuffer = (BYTE*)malloc(szFile);

fread(pFileBuffer, szFile, 1, pFile);

fclose(pFile);

//幕后进程的头信息

PIMAGE_DOS_HEADER pDosH = (PIMAGE_DOS_HEADER)pFileBuffer;

PIMAGE_FILE_HEADER pFileH = (PIMAGE_FILE_HEADER)((BYTE*)pDosH + pDosH->e_lfanew + 4);

PIMAGE_OPTIONAL_HEADER pOptH = (PIMAGE_OPTIONAL_HEADER)((BYTE*)pFileH + IMAGE_SIZEOF_FILE_HEADER);

PIMAGE_SECTION_HEADER pSectionH = (PIMAGE_SECTION_HEADER)((BYTE*)pOptH + pFileH->SizeOfOptionalHeader);

PROCESS_INFORMATION pi = { 0 };

STARTUPINFO si = { 0 };

si.cb = sizeof(STARTUPINFO);

BOOL created = CreateProcess(filePath3, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);

int err;

if (!created) {

err = GetLastError();

return 0;

}

CONTEXT context = { 0 };

context.ContextFlags = CONTEXT_FULL;

GetThreadContext(pi.hThread, &context);

//从线程上下获取取基址

SIZE_T read;

DWORD oldBase;

bool hasRead = ReadProcessMemory(pi.hProcess, (PDWORD)(context.Ebx + 0X8), &oldBase, sizeof(DWORD), &read);

if (!hasRead) {

return 0;

}

//卸载傀儡进程镜像

NTSTATUS flag = UnmapViewOfSection(pi.hProcess, (BYTE*)oldBase);

if (flag < 0) {

return 0;

}

//申请虚拟空间的内存

LPVOID addrExe = VirtualAllocEx(pi.hProcess, (LPVOID)pOptH->ImageBase,

pOptH->SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

if (addrExe == NULL) {

return 0;

}

//替换傀儡进程

SIZE_T written;

bool isOk = FALSE;

//头部分

isOk = WriteProcessMemory(pi.hProcess, (LPVOID)addrExe, pFileBuffer, pOptH->SizeOfHeaders, &written);

//节部分

for (int i = 0; i < pFileH->NumberOfSections; i++) {

isOk = WriteProcessMemory(pi.hProcess,

(LPVOID)((BYTE*)addrExe + pSectionH[i].VirtualAddress),

pFileBuffer + pSectionH[i].PointerToRawData,

pSectionH[i].SizeOfRawData,

&written);

}

//修改线程上下文

DWORD imageBase = (DWORD)addrExe;

context.Eax = imageBase + pOptH->AddressOfEntryPoint;

WriteProcessMemory(pi.hProcess, (PDWORD)(context.Ebx + 0X8), &imageBase, sizeof(DWORD), &written);

SetThreadContext(pi.hProcess, &context);

ResumeThread(pi.hThread);

return 0;

}

1.调用Nt/ZwUnmapViewOfSection()卸载镜像会报错

2f675b5ec254b7e8ba7cd8a697bc173a.png

2.不卸载镜像,在空闲内存插入别的进程然后修改重定位表显示停止工作

ae78400ef8a265f71e38974ba88a3c9a.png

最后于 2020-1-23 13:58

被吸语言编辑

,原因:

weixin_39980082
关注
C语言实现查看进程是否存在的方法示例
08-29
"C语言实现查看进程是否存在的方法示例" 本文主要介绍了C语言实现查看进程是否存在的方法,涉及C语言针对进程操作的相关实现技巧。下面将详细说明标题和描述中所说的知识点。 首先,让我们了解什么是进程进程是...
使用 ZwUnmapViewOfSection 卸载并替换内存镜像
hambaga的博客
07-14 3708
The ZwUnmapViewOfSection routine unmaps a view of a section from the virtual address space of a subject process. NTSTATUS ZwUnmapViewOfSection( IN HANDLE ProcessHandle, IN PVOID BaseAddress ); 这个函数在 wdm.h 里声明,它的功能是卸载进程的内存镜像(Image Buffer),内存
6.24~~~~(渗透技术学习)
最新发布
m0_72827793的博客
06-24 648
利用WindowsLoader开机时会执行sdb文件,sdb文件中包含了很多shim文件,shim文件可以修改程序的代码,而shim文件可以直接用Microsoft Application Compatibility Toolkit这个工具生成在Microsoft Application Compatibility Toolkit工具中可以使用选择函数Command line填入的方式直接生成shim文件。
DLL注入与隐藏的学习
weixin_43781139的博客
05-18 4887
本篇要讲什么?小白看了要问,DLL是啥?为啥要注入?又干嘛隐藏?而大佬直接 我当然是菜鸡,所以我们一起来学习一下这dll到底是神魔东西,他有什么神奇之处。 一、DLL简介 定义:动态链接库英文为DLL,是Dynamic Link Library的缩写。DLL是一个包含可由多个程序,同时使用的代码和数据的库。在Windows中,这种文件被称为应用程序拓展。例如,在 Windows 操作系统中,Comdlg32.dll 执行与对话框有关的常见函数。因此,每个程序都可以使用该 DLL 中包含的功能来实现“打开
使用GetProcAddress获取ZwUnmapViewOfSection函数指针
hambaga的博客
07-13 790
要想使用ZwUnmapViewOfSection函数,又没有安装驱动开发的工具包,可以从ntdll.dll里获取ZwUnmapViewOfSection的函数指针,代码如下: #include <stdio.h> #include <Windows.h> int main() { // 获取 ZwUnmapViewOfSection HMODULE hModuleNt = LoadLibrary("ntdll.dll"); if (NULL == hModuleNt) {
C语言中设置进程优先顺序的方法
01-01
C语言setpriority()函数:设置程序进程执行优先权 头文件: #include <sys> #include 定义函数: int setpriority(int which, int who, int prio); 函数说明:setpriority()可用来设置进程进程组和用户的进程...
Linux下C语言修改进程名称的方法
12-31
本文实例讲述了Linux下C语言修改进程名称的方法。分享给大家供大家参考。具体如下: #include #include #include ./util/setproctitle.c // extern char **environ; // int main(int argc , char *argv[]) // { /...
国外大神写给大家看的C语言书_入门神器
03-08
国外大神写给大家看的C语言书_入门神器,尤其适合零基础代码小白阅读。
C语言实现进程间通信原理解析
08-19
主要介绍了C语言实现进程间通信原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
php加,文件加实现(三) —— ZwUnmapViewOfSection
weixin_30125993的博客
03-20 633
还不完整, 继续整理中// TestShell.cpp : Defines the entry point for the application.//#include "stdafx.h"#include #include #include #include "PEOperate.h"/*以挂起的形式创建进程,获取Context*/#define KEY 0x56#pragma pack(pus...
进程注入,解决了VirtualAllocEx在傀儡进程申请基地址内存失败的问题。
字节跳动
04-02 3474
本文所贴出的PoC代码将告诉你如何通过CreateProcess创建一个傀儡进程(称之为可执行程序A),并把dwCreationFlags设置为CREATE_SUSPENDED,然后把另一个可执行程序(称之为可执行程序B)的内容加载到所创建的进程空间中,最终借用傀儡进程(A)的外来执行可执行程序B的内容。同时这段代码也会告诉你如何手工对Win32可执行程序进行重定位处理,以及如何从进程空间中取消...
代码注入之傀儡进程
sevenpic的专栏
09-13 1987
 傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEProcess();PROCESS_INFORMATION pi  = {0};
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密项目
四位的博客
12-27 2464
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
改写PEB在傀儡进程执行代码
求索
03-11 1161
改写PEB在傀儡进程执行代码
在NT中直接访问物理内存
11-13 3563
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
c语言0xc0000005
06-07
0xc0000005 是 Windows 操作系统中的错误代码,表示访问违规(Access Violation)。当 C 语言程序试图访问一个未经初始化或已经释放的内存地址时,就会出现这个错误。这通常是由于指针操纵不当导致的。要解决这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值