原文:http://www.ghoffice.com/bbs/read-htm-tid-94760.html
【屠夫科普】感染PE增加导入项实现注入
上篇文章<<【屠夫话题】关于MMRPG型辅助相对通用框架的讨论>>承诺放出源码分享.今天实现.
之前有朋友说此方法还不够通用.原因有个别国外游戏会启动后,对自身加载的所有文件进行HASH效验,不过它可以检测自带的文件.难道连系统文件也效验.先判断当前系统.
再取得微软的效验碼?这强度未免太大了吧. 我一个人实在没有那么多精力测试.希望朋友们帮忙.
微软的Detours也在使用这种方法注入,我的和它的有一点区别.它的比较温柔.主要攻击EXE,启动进程挂起.然后修改动态PE.我攻击所有PE文件.静态修改.
编程语言:C
编程环境:Microsoft Visual Studio 2008
系统平台:Windows server 2008
实现原理: 启动进程系统是通过其导入表确定该为其加载那些动态连接库.它是一个数组.每个成员代表一个动态连接库.我们要做的就是为这个数组增加一个成员.
而这个成员就是我们的动态连接库.只是这个数组是固定大小的,它的前面后面.都没有位置让我们新增一个成员.所以我们只能随便找一个空地新构造一个这样的数组即可
PS:此代码居然破坏性.请先备份目标文件再行使用 (使用前请把想要注入的动态连接库放入与目标相同的文件夹内)
之前有朋友说此方法还不够通用.原因有个别国外游戏会启动后,对自身加载的所有文件进行HASH效验,不过它可以检测自带的文件.难道连系统文件也效验.先判断当前系统.
再取得微软的效验碼?这强度未免太大了吧. 我一个人实在没有那么多精力测试.希望朋友们帮忙.
微软的Detours也在使用这种方法注入,我的和它的有一点区别.它的比较温柔.主要攻击EXE,启动进程挂起.然后修改动态PE.我攻击所有PE文件.静态修改.
编程语言:C
编程环境:Microsoft Visual Studio 2008
系统平台:Windows server 2008
实现原理: 启动进程系统是通过其导入表确定该为其加载那些动态连接库.它是一个数组.每个成员代表一个动态连接库.我们要做的就是为这个数组增加一个成员.
而这个成员就是我们的动态连接库.只是这个数组是固定大小的,它的前面后面.都没有位置让我们新增一个成员.所以我们只能随便找一个空地新构造一个这样的数组即可
复制代码
|
PS:此代码居然破坏性.请先备份目标文件再行使用 (使用前请把想要注入的动态连接库放入与目标相同的文件夹内)