[原创]重映射User32.dll调用MessageBox对话框-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]重映射User32.dll调用MessageBox对话框

发表于: 2011-9-22 16:45 14385

[原创]重映射User32.dll调用MessageBox对话框

YangCoCol

2011-9-22 16:45

14385

#include <windows.h>

DWORD ReGetProcAddress(HMODULE hModule, HMODULE hOldModule, LPCSTR lpProcName)
{
DWORD MyApiAddr;
DWORD ApiOffset;
DWORD ReApiAddr;

MyApiAddr = (DWORD)GetProcAddress(hOldModule, lpProcName);
ApiOffset = MyApiAddr - (DWORD)hOldModule;
ReApiAddr = (DWORD)hModule + ApiOffset;

return (ReApiAddr);
}

HMODULE RemapLibrary(LPCSTR lpModuleName)
{
HMODULE hMod;
DWORD ImageSize;
BYTE* Virtual;
PIMAGE_DOS_HEADER DosHeader;
PIMAGE_NT_HEADERS NtHeader;

hMod = GetModuleHandleA(lpModuleName);
if(!hMod)
{
return (0);
}

DosHeader = (PIMAGE_DOS_HEADER)hMod;
NtHeader = (PIMAGE_NT_HEADERS)((DWORD)DosHeader + (DWORD)DosHeader->e_lfanew);
ImageSize = (DWORD)NtHeader->OptionalHeader.SizeOfImage;

Virtual = (BYTE*)VirtualAlloc(NULL, ImageSize, MEM_COMMIT, PAGE_READWRITE);
if(!Virtual)
{
return (0);
}

VirtualLock(Virtual, ImageSize);

memcpy(Virtual, (PBYTE)hMod, ImageSize);

return ((HMODULE)Virtual);
}

typedef DWORD (WINAPI *MSGBOX)(HWND,LPSTR,LPSTR,UINT);

void main()
{
HMODULE hOldMod, hNewMod;
MSGBOX MyMessageBox;

printf("开始动态加载User32.dll\n");

hOldMod = LoadLibrary("user32.dll");

printf("User32.dll加载成功!\n");

printf("开始重新映射User32.dll\n");

hNewMod = RemapLibrary("user32.dll");

printf("User32.dll重新映射成功!\n按任意键继续...\n");

getchar();

printf("开始释放原User32.dll\n");

FreeLibrary(hOldMod);

printf("User32.dll释放成功!\n按任意键继续...\n");

getchar();

MyMessageBox = (MSGBOX)ReGetProcAddress(hNewMod, hOldMod, "MessageBoxA");

MyMessageBox(NULL, "ReMapLibrary OK!", "Test", 0);

printf("调用MessageBoxA成功!");

}:

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・8

免费・6

支持

最新回复 (23)
sunsjw 雪币： 8753 活跃值： (5215) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 2 楼楼主，弱弱的问下，遇到重定位，还能这么处理吗？ 2011-9-22 17:38 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼晕，这不和我那个基本一样吗？ 2011-9-22 18:09 0
cshcmq 雪币： 427 活跃值： (488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 4 楼乾坤大挪移法。呵~ 2011-9-22 18:43 0
littlewisp 雪币： 5303 活跃值： (3694) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 5 楼标记一下，多谢分享 2011-9-22 20:40 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 6 楼能不能给些use case啊，什么情况下需要这样？ 2011-9-22 21:12 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 7 楼一个古老的经典方法 2011-9-22 21:35 0
FishSeeWater 雪币： 768 活跃值： (530) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 8 楼 mark,~ 2011-9-22 21:39 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 9 楼他把整个 user32 都映射过来了。。这个怎么会有防止断点的情况发生呢？不解。求高手解释。在 MyMessageBox(NULL, "ReMapLibrary OK!", "Test", 0); 里面产生int 3断点 2011-9-22 22:08 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 10 楼模块链表中不会有user32.dll。调试器找不到导出函数。 2011-9-22 23:41 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 11 楼木马免杀不错… 2011-9-23 08:09 0
dahaione 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	dahaione 12 楼现在看来，LoadLibrary才是万能的断点啊。 2011-9-23 09:09 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 13 楼函数跟流程都那样好不。。。。 2011-9-23 09:30 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 14 楼你知道一个程序一开始要调用多少个动态链接库不，，， 2011-9-23 09:32 0
Dvsz 雪币： 224 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	Dvsz 15 楼谢谢楼主分享！ 2011-9-23 10:58 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 16 楼因为直接BP 下断..找不到MyMessageBox的地址``可以防止在OD中对MessageBox函数下段..就这样``` 2011-9-23 12:25 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 17 楼直接复制原来地址处的二进制代码，直接全段内存搜索，搜索完毕后此处下断点，好多壳都这样做了 2011-9-23 13:39 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 18 楼做个标记，这个不错 2011-9-23 13:54 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 19 楼 alloc页属性应该是PAGE_EXECUTE_READWRITE吧 2011-9-26 11:57 0
freecsw 雪币： 244 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	freecsw 20 楼程序中的FreeLibrary(hOldMod)这句并没有真正的释放掉dll，稍微改动，你的程序马上挂掉： while (FreeLibrary(hOldMod)) {} 还是重定位问题，你只重定位了入口点而已，dll中的其他地方呢? 2011-9-26 16:38 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 21 楼谢谢楼主分享。 2012-7-23 00:17 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 22 楼哎哟，你把xx.dll 改个名字直接Loader 哟.....写代码干嘛呵呵 2012-7-23 01:01 0
蓝色炫影雪币： 20 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	蓝色炫影 23 楼重定位问题根本没解决，另外： FreeLibrary(hOldMod); 这一句释放了user32 接着往下走到 MyMessageBox = (MSGBOX)ReGetProcAddress(hNewMod, hOldMod, "MessageBoxA"); 里面调用了 MyApiAddr = (DWORD)GetProcAddress(hOldModule, lpProcName); 如果hOldModule被释放的话，这里GetProcAddress一定是返回0的，事实上user32.dll根本没被释放 2012-7-23 17:48 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 24 楼不给力，导入、导出、表定位表都没修复~ 2012-7-23 19:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

YangCoCol

发帖

111

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
sunsjw 雪币： 8753 活跃值： (5215) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 2 楼楼主，弱弱的问下，遇到重定位，还能这么处理吗？ 2011-9-22 17:38 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼晕，这不和我那个基本一样吗？ 2011-9-22 18:09 0
cshcmq 雪币： 427 活跃值： (488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 4 楼乾坤大挪移法。呵~ 2011-9-22 18:43 0
littlewisp 雪币： 5303 活跃值： (3694) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 5 楼标记一下，多谢分享 2011-9-22 20:40 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 6 楼能不能给些use case啊，什么情况下需要这样？ 2011-9-22 21:12 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 7 楼一个古老的经典方法 2011-9-22 21:35 0
FishSeeWater 雪币： 768 活跃值： (530) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 8 楼 mark,~ 2011-9-22 21:39 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 9 楼他把整个 user32 都映射过来了。。这个怎么会有防止断点的情况发生呢？不解。求高手解释。在 MyMessageBox(NULL, "ReMapLibrary OK!", "Test", 0); 里面产生int 3断点 2011-9-22 22:08 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 10 楼模块链表中不会有user32.dll。调试器找不到导出函数。 2011-9-22 23:41 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 11 楼木马免杀不错… 2011-9-23 08:09 0
dahaione 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	dahaione 12 楼现在看来，LoadLibrary才是万能的断点啊。 2011-9-23 09:09 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 13 楼函数跟流程都那样好不。。。。 2011-9-23 09:30 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 14 楼你知道一个程序一开始要调用多少个动态链接库不，，， 2011-9-23 09:32 0
Dvsz 雪币： 224 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	Dvsz 15 楼谢谢楼主分享！ 2011-9-23 10:58 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 16 楼因为直接BP 下断..找不到MyMessageBox的地址``可以防止在OD中对MessageBox函数下段..就这样``` 2011-9-23 12:25 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 17 楼直接复制原来地址处的二进制代码，直接全段内存搜索，搜索完毕后此处下断点，好多壳都这样做了 2011-9-23 13:39 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 18 楼做个标记，这个不错 2011-9-23 13:54 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 19 楼 alloc页属性应该是PAGE_EXECUTE_READWRITE吧 2011-9-26 11:57 0
freecsw 雪币： 244 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	freecsw 20 楼程序中的FreeLibrary(hOldMod)这句并没有真正的释放掉dll，稍微改动，你的程序马上挂掉： while (FreeLibrary(hOldMod)) {} 还是重定位问题，你只重定位了入口点而已，dll中的其他地方呢? 2011-9-26 16:38 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 21 楼谢谢楼主分享。 2012-7-23 00:17 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 22 楼哎哟，你把xx.dll 改个名字直接Loader 哟.....写代码干嘛呵呵 2012-7-23 01:01 0
蓝色炫影雪币： 20 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	蓝色炫影 23 楼重定位问题根本没解决，另外： FreeLibrary(hOldMod); 这一句释放了user32 接着往下走到 MyMessageBox = (MSGBOX)ReGetProcAddress(hNewMod, hOldMod, "MessageBoxA"); 里面调用了 MyApiAddr = (DWORD)GetProcAddress(hOldModule, lpProcName); 如果hOldModule被释放的话，这里GetProcAddress一定是返回0的，事实上user32.dll根本没被释放 2012-7-23 17:48 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 24 楼不给力，导入、导出、表定位表都没修复~ 2012-7-23 19:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复