内存写入注入

最新推荐文章于 2024-06-10 16:24:32 发布
最新推荐文章于 2024-06-10 16:24:32 发布
阅读量2.4k 收藏 14
点赞数 3
分类专栏: Win32 文章标签: window 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44711063/article/details/114436713
版权

内存写入注入

如果进程A本身就给了其他进程申请和写入空间的权限,那我只要将模块复制到指定进程A的空间里面,再利用远程线程或者hook也就能让我们的模块在进程A运行,这就是内存写入注入

思路

只要我进程A允许进程B有写入操作就可以实现注入。这样实现了隐藏模块的注入

拓展:若是不允许别的进程有写入操作,但应该也会允许系统进程有写入操作,只要我将注入功能注入到系统进程里面,让系统进程对进程A进行内存写入注入就可以了。相当于内存写入注入+伪装合法软件注入

在这里插入图片描述

步骤

1、内存写入:

  • 获取当前模块句柄,得到SizeOfImage的大小和Image Base
  • 在当前空间申请空间存放自身代码
  • 打开要注入的进程A
  • 在远程进程A中申请空间,大小为SizeOfImage
  • 对本身进程B中的代码进行重定位
  • 得到本身进程B中要在进程A中运行的函数的地址,重定位后的地址
  • 将重定位修正后的数据 通过WriteProcessMemory写入远程进程的内存空间中
  • 通过CreateRemoteThread开线程,线程函数地址为Entry重定位后的地址
  • 释放当前空间申请的内存

2、模块入口函数执行

  • 根据重定位信息,修复IAT表。
    • 因为被注入的进程可能没有自己进程的一些系统函数,所以注入模块的第一步便是修复IAT表
    • 可能两个有些系统dll没有预装到指定位置,所以修复
    • 海哥说不是所有dll都能正确加载到相同的位置
  • 执行其他功能
  • 通过全局变量来结束这个函数

为什么不用修复IAT表也可以注入成功,我想:

只要我注入进的代码这里用的函数都是被注入进程dll里面有的应该就可以不用修复,因为两个常见系统dll(user32、kernel32)都会抢占到相同的内存地址 。正因为抢占到了相同位置,所以并不需要修复IAT表。但我注入进的代码用到其他 位置不相同的dll了就需要修复IAT表了

还有调用系统函数是间接call,这样可能会想就算重定位修复了IAT的地址如:FF [4123] 变成了 FF[5123],但IAT表里面的内容没有跟着移动到新的地址,所以FF[5123]里面是空的。这样想恰恰是错误的,我们复制是根据ImageBase整体复制的,内容并没有改变,IAT表的内容也会从[4123]复制到[5123],也正是这样,我们才需要修复间接Call,让它从4123变成5123

实例

说明:XP和Win10上都可以运行,没有修复IAT表。

错误点:卸载注入时有错误,能通过内存写入改变全局变量来结束远程线程,但远程释放空间会让程序崩溃

#include <stdio.h>
#include <iostream>
#include < windows.h>
#define PID 13912
#define RELOCATION 5
using namespace std;

//得到Image_base  SizeOfImage  EntryPoint
DWORD GetSizeOfImage(IN LPVOID FileBuffer, OUT DWORD& ImageBase, OUT DWORD& EntryPoint)
{
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)FileBuffer;
	PIMAGE_FILE_HEADER pFile = (PIMAGE_FILE_HEADER)((DWORD)FileBuffer + pDos->e_lfanew + 0x4);
	PIMAGE_OPTIONAL_HEADER32 pOption = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFile + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSection = (PIMAGE_SECTION_HEADER)((DWORD)pOption + pFile->SizeOfOptionalHeader);

	ImageBase = pOption->ImageBase;
	EntryPoint = pOption->AddressOfEntryPoint;

	//防止ImageSize不准,靠最后一个节来得到ImageSize
	DWORD Last_idex = pFile->NumberOfSections - 1;
	DWORD real_ImageSize = pSection[Last_idex].VirtualAddress + pSection[Last_idex].SizeOfRawData;
	return real_ImageSize;
}

//修复重定位表
void FixRelocation(IN LPVOID Buffer, IN DWORD FixImageBase)
{

	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)Buffer;
	if (pDos->e_magic != IMAGE_DOS_SIGNATURE || *(PDWORD)((DWORD)pDos + pDos->e_lfanew) != IMAGE_NT_SIGNATURE)
	{
		cout << "NOT MZ" << endl;
		return;
	}
	PIMAGE_FILE_HEADER pFile = (PIMAGE_FILE_HEADER)((DWORD)pDos + pDos->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionalFile = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFile + IMAGE_SIZEOF_FILE_HEADER);
	PIMAGE_BASE_RELOCATION pRelocation = (PIMAGE_BASE_RELOCATION)((DWORD)Buffer + pOptionalFile->DataDirectory[5].VirtualAddress);
	//保存原本值 更改ImageBase
	DWORD Imagebase = pOptionalFile->ImageBase;
	pOptionalFile->ImageBase = FixImageBase;

	//修复重定位表
	PWORD pDataAddr = (PWORD)((DWORD)pRelocation + 8);
	DWORD Block = pRelocation->SizeOfBlock;
	DWORD VitualAddr = pRelocation->VirtualAddress;

	PDWORD Replace = NULL;
	DWORD Rva = 0;
	while (Block != 0 && VitualAddr != 0)
	{
		for (DWORD i = 0; i < (Block - 8) / 2; i++)
		{
			// 高四位值为3 代表的是需要修改的数据 
			if ((*(pDataAddr + i) & 0xF000) == 0x3000)
			{
				Rva = (*(pDataAddr + i) & 0x0FFF) + VitualAddr;
				Replace = (PDWORD)((DWORD)Buffer + Rva);
				*Replace = *Replace - Imagebase + FixImageBase;
			}

		}
		pRelocation = (PIMAGE_BASE_RELOCATION)((DWORD)pRelocation + Block);
		Block = pRelocation->SizeOfBlock;
		VitualAddr = pRelocation->VirtualAddress;
		pDataAddr = (PWORD)((DWORD)pRelocation + 8);
	}
}

//全局变量,用于控远程线程函数
DWORD ExitCode = 0;
//要执行的函数  线程函数格式
DWORD WINAPI Entry(LPVOID lpParameter)
{
	//程序代码
	while(1)
	{
		Sleep(2000);
		MessageBox(NULL, L"执行的函数", L"注入", MB_OK);
		if (ExitCode)
		{
			ExitThread(1);
			return 0;
		}
	}
	return 0;
}

int main()
{
	cout << "注入中...." << endl;
	//获取当前模块句柄  
	HANDLE hCurrentProcess = NULL;
	hCurrentProcess = ::GetModuleHandle(NULL);
	if (hCurrentProcess == NULL)
	{
		cout << "获取当前模块句柄失败" << endl;
		return 0;
	}

	//得到自己的SizeOfImage和ImageBase
	DWORD EntryPoint = 0;
	DWORD ImageBase = 0;
	DWORD SizeOfImage = GetSizeOfImage((LPVOID)(DWORD)hCurrentProcess, ImageBase, EntryPoint);

	//当前空间申请空间存放自身代码
	LPVOID pszBuffer = malloc(SizeOfImage);
	if (pszBuffer == NULL)
	{
		cout << "申请空间失败" << endl;
		return 0;
	}
	ZeroMemory(pszBuffer, SizeOfImage);

	//空间存放自身代码
	memcpy(pszBuffer, (LPVOID)ImageBase, SizeOfImage);

	//获取要注入的进程A句柄 
	HANDLE hProcess = NULL;
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, PID);
	if (hProcess == NULL)
	{
		cout << "获取进程A句柄失败" << endl;
		return 0;
	}

	//在远程进程A中申请空间
	LPVOID pszProBuffer = NULL;
	pszProBuffer = VirtualAllocEx(hProcess, NULL, SizeOfImage, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (pszProBuffer == NULL)
	{
		cout << "远程进程A中申请空间失败" << endl;
		return 0;
	}

	//修复重定位表
	FixRelocation(pszBuffer, (DWORD)pszProBuffer);

	//写入远程进程空间
	DWORD WriteSize = 0;
	if (!WriteProcessMemory(hProcess, pszProBuffer, pszBuffer, SizeOfImage, &WriteSize))
	{
		cout << "写入远程进程失败" << endl;
		return 0;
	}

	//创建远程线程

	坑点  给的线程函数地址需要是重定位后的
	DWORD dwProcOffset = (DWORD)Entry - (DWORD)ImageBase + (DWORD)pszProBuffer;
	坑点

	HANDLE hThread = NULL;
	hThread = CreateRemoteThread(hProcess, NULL, NULL, (LPTHREAD_START_ROUTINE)dwProcOffset, NULL, 0, 0);

	//释放本身内存
	free(pszBuffer);

	//释放
	system("pause");
	DWORD CodeAddr = (DWORD)&ExitCode - (DWORD)ImageBase + (DWORD)pszProBuffer;
	DWORD Code = 1;
	DWORD size;
	if (!WriteProcessMemory(hProcess, (LPVOID)CodeAddr, (LPVOID)&Code, 4, &size))
	{
		cout << "写入远程进程失败" << endl;
		return 0;
	}
	//远程释放会崩
	//VirtualFreeEx(hProcess,pszProBuffer,SizeOfImage,MEM_DECOMMIT);
	return 0;
}

注入成功图,在win10上测试:
在这里插入图片描述

小鱼吃大鱼ni
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python内存注入代码,python语言编写的DLL注入工具
weixin_29009881的博客
03-26 1660
一、流程1、第一步,获取要注入进程快照;2、第二步,在快照中比对进程名,得到进程PID;3、第三步,用pid去打开进程获取到句柄;4、第四步,在要注入的进程内申请一块内存;5、第五步,把要注入的dll路径写入进程内存中;6、第六步,得到“LoadLibraryA”函数的句柄7、第七步,通过远程线程运行注入的dll,注入成功二、代码#-*- coding: utf-8 -*-from ctypes ...
sql注入写入webshell
qq_39816136的博客
04-18 1847
最近的hvv热度高涨,最近也是接到了许多的面试电话联系。 所有就sql注入出现的次数比较频繁,是初级hvv的重中之重 我感觉十有八九会问到sql注入,这里就解说一下这个sql注入写入webshell
内存写入 隐藏模块注入
pluginL的博客
09-11 1643
思路: 1.获取自身SizeOfImage ImageBase 2.远程申请注入进程SizeOfImage大小的内存 内存位置随机 获得内存位置:ProcessAddr 3.申请一段SizeOfImage大小缓冲区,写入自身程序 内存位置:ImageBase 4.修复Image重定位表(参数为:ProcessAddr) 5.写入缓冲区ProcessAddr,SizeOfImage 6.远程线程申请入口点为DWORD WINAPI(LPVOID lparameter) 7.入口点修复导入表,因为
内存故障注入测试
最新发布
存储随笔
06-10 944
通过故障注入测试,不仅可以验证EDAC模块是否正确地检测到人为制造的内存错误,还能评估系统的错误处理逻辑是否按照预期工作,比如是否正确记录错误、是否采取了适当的响应措施(如记录日志、发送告警等)。获取系统内存的分配情况,选择一个合适的未被占用的地址进行错误注入。这是因为注入错误到系统正在使用的内存区域可能会导致不稳定或崩溃。命令来确认错误是否被正确记录到预期的内存条上,并观察CE计数是否增加。命令获取页面大小,这对于精确控制注入错误的位置非常重要。检查EINJ表的存在与配置:首先,通过查看。
1.10 内存ShellCode注入与格式化
热门推荐
CSDN
08-31 1万+
ShellCode 的格式化与注入功能在实战应用中也尤为重要,格式化`Shellcode`是指将其转换为可执行的二进制格式,使其能够在内存中运行。注入`Shellcode`是指将格式化的`Shellcode`注入到另一个进程的内存中,以便在该进程中执行,此类功能也可算作`ShellCode`技术的延申功能。
Shiro注入内存
Le1a's Blog
10-21 1905
前段时间学习了在Shell中如何注入Filter型内存马,搞忘了写博客了,这里重新来记录一下过程。这里直接选择用CB链来打,CB链忘记了可以看前面的文章:https://www.le1a.com/posts/a5f4a9e3/
易语言内存注入
511遇见
05-28 9557
易语言完成内存注入的难度很大。 内存注入流程 1、获取注入进程ID 2、获取注入DLL的路径 3、打开进程,获取进程句柄 4、申请内存,读入DLL 5、将DLL路径写入内存地址 6、将DLL路径写入内存地址 7、为内存中的汇编指令申请内存地址 8、把汇编指令写入内存 9、把汇编指令写入内存 10、创建远程线程,执行装载DLL函数 11、线程等待 12、取终止线程退出的代码 13、 关闭线程和进程句柄 易语言内存注入源码: .版本 2 .子程序 内存注入, 逻辑型 .参数 进程ID, 整数型.
dll重定位内存注入
WorryFree
09-13 1033
内存注入,dll注入,重定位注入,手动加载PE
C/C++ 将ShellCode注入进程内存
CSDN
11-06 5455
内存注入ShellCode的优势就在于被发现的概率极低,甚至可以被忽略,这是因为ShellCode被注入到进程内存中时,其并没有与之对应的硬盘文件,从而难以在磁盘中取证,但也存在一个弊端由于内存是易失性存储器,所以系统必须一直开机,不能关闭,该攻击手法可以应用于服务器上面,安全风险最小,注入后将注入器删除即可。
易语言内存DLL注入模块
08-16
易语言内存DLL注入模块源码 系统结构:释放进程内存,注入DLL,取DLL函数地址,执行DLL函数,卸载DLL,是否已注入,重载变量,申请内存_,释放内存_,写到内存_,读取内存_,写入内存数据_,调用子程序
DLL内存注入源码
09-13
5. **写入内存**:使用`WriteProcessMemory`将DLL的路径或地址写入目标进程的内存空间。 6. **创建远程线程**:使用`CreateRemoteThread`在目标进程中创建一个新的线程,该线程会调用`LoadLibrary`或`...
易语言内存注入DLL源码
04-02
4. **写入内存**:将DLL的内存映像写入到目标进程分配的内存区域,使用`进程.内存写`函数完成这一操作。 5. **执行DLL导出函数**:内存注入的关键一步是触发DLL的初始化代码。这通常是通过调用`进程.内存执行`函数...
内存DLL注入易语言模块源码
05-27
内存DLL注入是一种技术,常用于调试、自动化测试、性能优化以及恶意软件中,它允许一个程序在不修改或重新启动目标进程的情况下,将其功能插入到另一个正在运行的进程中。在这个场景中,标题提及的是“易语言模块...
Inline Hook
weixin_44711063的博客
03-11 2690
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hook。 inline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
Win32滴水项目---进程监控
weixin_44711063的博客
03-11 1069
进程监控–项目练习 项目要求: 特别说明 注意:此次项目在Win XP下编写,Win10上没有尝试。还有,监控程序(Hacker.exe)需拥有重定位表,就是DEBUG版 使用内存写入的方式,实现模块隐藏. IAT表中有的API使用IAT Hook实现 不在IAT表的使用Inline Hook实现 将监控的API参数写入到文件中 进程间通信方式自己选择,有创新最好 所有的HOOK能够正常卸载,不能导致进程意外结束 我采用的是内存写入的方式注入(将当前进程代码重定位写入远程进程,在远程进程中修复IAT
IAT HOOK
weixin_44711063的博客
03-11 596
IAT HOOK IAT hook,通过把IAT表中的函数地址修改成我所要执行的函数地址,完成改变程序流程 举例: 比如原本是静态(通过系统自己加载dll)使用函数MessageBox,程序会FF间接call,找IAT表里面存的函数地址。倘若我在程序使用函数MessageBox之前,就对IAT表里面的函数地址做修改。那么,程序再call函数MessageBox的地址时,就会call我修改的那个函数的地址那里。从而实现改变程序流程 案例: 实现IAT hook,要求返回函数MessageBox的参数、返回值到
远程线程注入
weixin_44711063的博客
01-29 187
远程线程模块注入 首先明白自己进程加载dll,可以直接LoadLibrary就可以把模块加载进去。但是远程的进程该怎么让它加载直接写的模块呢? 思路: 如果能够让远程进程自己执行这段代码: HINSTANCE hModule = LoadLibrary("InjectDll.dll"); 就达到注入DLL的目的了. 步骤: 创建远程线程时,需要指定进程句柄/线程函数/线程函数的参数 进程句柄的获取,这里用PID来获取 OpenProcess(PROCESS_ALL_ACCESS, FALSE,
进程通信-共享内存
weixin_44711063的博客
03-11 101
进程通信-共享内存 通过CreateFileMapping映射的内存,可以由2个或2个以上进程共享物理页。它创建了一个内核对象,并且可以在创建物理页的时候将文件映射到物理页上。 实现步骤: 在接收端进程中注入代码 hook或开线程 在发送端对共享的内存写入操作 1、创建物理页 g_hMapFile = CreateFileMapping( INVALID_HANDLE_VALUE, //-1,表示不将文件映射到该物理页 NULL, //安全属性 PAGE_READWRIT
Windows远程注入DLL技术详解
使用`VirtualAllocEx`函数在目标进程的地址空间中分配内存,然后使用`WriteProcessMemory`函数将DLL的路径写入到分配的内存区域。这是为了传递DLL文件的路径给远程线程,以便`LoadLibrary`函数知道要加载哪个DLL。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值