[求助]使用劫持dll的方式注入的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼大致就是LZ所说的意思因为是注入为目的所以不改变被劫持模块的功能只需要导入其EAT表调用的时候就跳转过去再把这些跳转以与其同名接口的方式导出这样你就可以在模块入口执行自己的代码然后放入目标进程文件夹就可以了 2012-6-26 03:18 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼是的，不需要考虑参数，直接jmp跳转 VOID __declspec(naked) NewFunction() { __asm jmp OldAddress; } 然后就可以在def文件里面导出 LIBRARY "YouCplusplusFileName" EXPORTS OldFunctionName @1 ... 2012-6-26 12:15 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 4 楼嗯，明白了，谢谢了哦，这次已经真的测试成功了.. 待会，就找个游戏合适的dll测试看看.. O(∩_∩)O~。。这劫持真的是太强大了，感觉.. 这下一来，就可以很容易地安装定时炸弹了。.... 2012-6-26 13:03 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 5 楼在教你一种方法，EXE和DLL天人合一。 1：在EXE空白的地方，写一段shellcode进去，让EXE先jmp到你的shellcode里面去。 2：给你段shellcode。 60 9C 64 A1 30 00 00 00 8B 40 0C 8B 70 1C AD 8B 40 08 05 7B 1D 00 00 8B D8 68 00 00 7D 03 FF D3 9D 61 2012-6-27 13:39 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 6 楼把你的DLL改成 xxxxx.dll 放到demo.exe 目录中去上传的附件： demo.rar （153.43kb，68次下载） 2012-6-27 15:03 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼好吧，我来解释并完善下。。。 nt!_PEB_LDR_DATA +0x000 Length : Uint4B +0x004 Initialized : UChar +0x008 SsHandle : Ptr32 Void +0x00c InLoadOrderModuleList : _LIST_ENTRY +0x014 InMemoryOrderModuleList : _LIST_ENTRY +0x01c InInitializationOrderModuleList : _LIST_ENTRY +0x024 EntryInProgress : Ptr32 Void nt!_LIST_ENTRY +0x000 Flink : Ptr32 _LIST_ENTRY +0x004 Blink : Ptr32 _LIST_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x008 InMemoryOrderLinks : _LIST_ENTRY +0x010 InInitializationOrderLinks : _LIST_ENTRY +0x018 DllBase : Ptr32 Void +0x01c EntryPoint : Ptr32 Void +0x020 SizeOfImage : Uint4B +0x024 FullDllName : _UNICODE_STRING +0x02c BaseDllName : _UNICODE_STRING +0x034 Flags : Uint4B +0x038 LoadCount : Uint2B +0x03a TlsIndex : Uint2B +0x03c HashLinks : _LIST_ENTRY +0x03c SectionPointer : Ptr32 Void +0x040 CheckSum : Uint4B +0x044 TimeDateStamp : Uint4B +0x044 LoadedImports : Ptr32 Void +0x048 EntryPointActivationContext : Ptr32 Void +0x04c PatchInformation : Ptr32 Void pushad //保存寄存器 pushfd //保存Flag标志寄存器 mov eax,fs:[00000030] //得到进程环境块PEB mov eax,[eax+0C] //得到PEB->PEB_LDR_DATA mov esi,[eax+1C] //得到PEB->PEB_LDR_DATA->LIST_ENTRY，即进程的模块链表InInitializationOrderModuleList lodsd //等效于 mov eax,[esi] ，得到LIST_ENTRY.Flink，下一个模块链表，即kernel32.dll的PEB->PEB_LDR_DATA->PLIST_ENTRY mov eax,[eax+08] //得到kernel32.dll的模块基址 add eax,00001D7B //得到LoadLibrary的函数地址 mov ebx,eax //LoadLibrary的函数地址传给ebx push 037D0000 //你要加载的模块全路径名字串指针 call ebx //call LoadLibrary popfd //恢复Flag标志寄存器 popad //恢复 2012-6-28 22:26 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 9 楼解释的很是详细，手工硬编码测试了，是可以加载dll的. 这方法按说不亚于劫持.. 但是具体的编码过程，应该具体是怎么实现的呢? 2012-6-29 06:54 0
hacknr 雪币： 250 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hacknr 10 楼 shellcode注入类似PE感染啊 2012-6-29 07:49 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 11 楼添加一个区段->OEP-Jmp - > 添加后的区段->动态获取ker基址->然后Load下其实这里可以X几下，模拟LoadLibraryA头进行加载的，但我为了稳定性没这样做. 2012-6-29 09:56 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 12 楼学习了哦.... 2012-6-29 15:20 0
小调调雪币： 3237 活跃值： (3286) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 13 楼启动注入~ 论坛的贴子有实现的代码 2012-6-29 15:46 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 14 楼启动注入可以直接让游戏自己注入DLL的，非EXE 远线程插入DLL的。原理同上 2012-6-29 16:42 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼对于没有文件校验的程序，确实可以这样注入...shellcode... 2012-6-29 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼大致就是LZ所说的意思因为是注入为目的所以不改变被劫持模块的功能只需要导入其EAT表调用的时候就跳转过去再把这些跳转以与其同名接口的方式导出这样你就可以在模块入口执行自己的代码然后放入目标进程文件夹就可以了 2012-6-26 03:18 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼是的，不需要考虑参数，直接jmp跳转 VOID __declspec(naked) NewFunction() { __asm jmp OldAddress; } 然后就可以在def文件里面导出 LIBRARY "YouCplusplusFileName" EXPORTS OldFunctionName @1 ... 2012-6-26 12:15 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 4 楼嗯，明白了，谢谢了哦，这次已经真的测试成功了.. 待会，就找个游戏合适的dll测试看看.. O(∩_∩)O~。。这劫持真的是太强大了，感觉.. 这下一来，就可以很容易地安装定时炸弹了。.... 2012-6-26 13:03 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 5 楼在教你一种方法，EXE和DLL天人合一。 1：在EXE空白的地方，写一段shellcode进去，让EXE先jmp到你的shellcode里面去。 2：给你段shellcode。 60 9C 64 A1 30 00 00 00 8B 40 0C 8B 70 1C AD 8B 40 08 05 7B 1D 00 00 8B D8 68 00 00 7D 03 FF D3 9D 61 2012-6-27 13:39 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 6 楼把你的DLL改成 xxxxx.dll 放到demo.exe 目录中去上传的附件： demo.rar （153.43kb，68次下载） 2012-6-27 15:03 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼好吧，我来解释并完善下。。。 nt!_PEB_LDR_DATA +0x000 Length : Uint4B +0x004 Initialized : UChar +0x008 SsHandle : Ptr32 Void +0x00c InLoadOrderModuleList : _LIST_ENTRY +0x014 InMemoryOrderModuleList : _LIST_ENTRY +0x01c InInitializationOrderModuleList : _LIST_ENTRY +0x024 EntryInProgress : Ptr32 Void nt!_LIST_ENTRY +0x000 Flink : Ptr32 _LIST_ENTRY +0x004 Blink : Ptr32 _LIST_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x008 InMemoryOrderLinks : _LIST_ENTRY +0x010 InInitializationOrderLinks : _LIST_ENTRY +0x018 DllBase : Ptr32 Void +0x01c EntryPoint : Ptr32 Void +0x020 SizeOfImage : Uint4B +0x024 FullDllName : _UNICODE_STRING +0x02c BaseDllName : _UNICODE_STRING +0x034 Flags : Uint4B +0x038 LoadCount : Uint2B +0x03a TlsIndex : Uint2B +0x03c HashLinks : _LIST_ENTRY +0x03c SectionPointer : Ptr32 Void +0x040 CheckSum : Uint4B +0x044 TimeDateStamp : Uint4B +0x044 LoadedImports : Ptr32 Void +0x048 EntryPointActivationContext : Ptr32 Void +0x04c PatchInformation : Ptr32 Void pushad //保存寄存器 pushfd //保存Flag标志寄存器 mov eax,fs:[00000030] //得到进程环境块PEB mov eax,[eax+0C] //得到PEB->PEB_LDR_DATA mov esi,[eax+1C] //得到PEB->PEB_LDR_DATA->LIST_ENTRY，即进程的模块链表InInitializationOrderModuleList lodsd //等效于 mov eax,[esi] ，得到LIST_ENTRY.Flink，下一个模块链表，即kernel32.dll的PEB->PEB_LDR_DATA->PLIST_ENTRY mov eax,[eax+08] //得到kernel32.dll的模块基址 add eax,00001D7B //得到LoadLibrary的函数地址 mov ebx,eax //LoadLibrary的函数地址传给ebx push 037D0000 //你要加载的模块全路径名字串指针 call ebx //call LoadLibrary popfd //恢复Flag标志寄存器 popad //恢复 2012-6-28 22:26 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 9 楼解释的很是详细，手工硬编码测试了，是可以加载dll的. 这方法按说不亚于劫持.. 但是具体的编码过程，应该具体是怎么实现的呢? 2012-6-29 06:54 0
hacknr 雪币： 250 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hacknr 10 楼 shellcode注入类似PE感染啊 2012-6-29 07:49 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 11 楼添加一个区段->OEP-Jmp - > 添加后的区段->动态获取ker基址->然后Load下其实这里可以X几下，模拟LoadLibraryA头进行加载的，但我为了稳定性没这样做. 2012-6-29 09:56 0
fzhaoqiang 雪币： 7 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 124 回帖 373 粉丝 1 关注私信	fzhaoqiang 12 楼学习了哦.... 2012-6-29 15:20 0
小调调雪币： 3237 活跃值： (3286) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 13 楼启动注入~ 论坛的贴子有实现的代码 2012-6-29 15:46 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 14 楼启动注入可以直接让游戏自己注入DLL的，非EXE 远线程插入DLL的。原理同上 2012-6-29 16:42 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼对于没有文件校验的程序，确实可以这样注入...shellcode... 2012-6-29 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复