-
-
[原创]远程注入dll
-
发表于: 2012-12-5 19:29
-
今天和同事聊天时他说到以前写外挂时用到了远程注入dll的技术,他当时是这样做的:首先通过CreateProcess创建子进程,需要指定CREATE_SUSPENDED,防止主线程启动。然后在子进程分配内存,写入自己加载dll的代码。之后修改子进程入口点的代码,使子进程启动时先跳到加载dll的代码,随后再恢复入口点。这种方法和hook类似,将入口点hook住,来运行自己的代码。
我当时就想到了是否可以修改主线程的EIP来达到这种功能呢。思路如下:获取主线程的CONTEXT,保存CONTEXT中原来的EIP值,修改CONTEXT中的EIP为自己写的代码,然后在自己的代码运行完后跳到保存的EIP处。
代码如下:
1. 创建子进程
2. 获取主线程的CONTEXT
3. 在子进程中分配空间
SHELL_CODE是我定义的结构体,szPath是dll的路径,szInstruction是我加载dll的代码
4. 定义shellcode
szShellCode转化成汇编代码如下所示:
0x78563412是我预先填的地址,随后填为真正的地址。
5. 修改shellcode
第一个是填写字符串的地址,第二个是填写LoadLibraryA的地址,第三个是填写jmp到原来的EIP的地址。
6. 将shellcode写到为子进程分配的内存中
7. 设置主线程CONTEXT的EIP并启动
整个过程结束,当主线程启动时,会加载我们的dll,随后跳到原来的入口点执行代码。思路很简单,大牛勿喷。如有雷同,应该是我井底之蛙了
放个代码:https://github.com/yorath/DllInjection
Github已更新,改为使用EAX来指向我的shellcode
我当时就想到了是否可以修改主线程的EIP来达到这种功能呢。思路如下:获取主线程的CONTEXT,保存CONTEXT中原来的EIP值,修改CONTEXT中的EIP为自己写的代码,然后在自己的代码运行完后跳到保存的EIP处。
代码如下:
1. 创建子进程
1 | CreateProcess(argv[1], NULL, NULL, NULL, FALSE, [B]CREATE_SUSPENDED[/B], NULL, NULL, &SI, &PI) |
2. 获取主线程的CONTEXT
1 2 | Context.ContextFlags = CONTEXT_CONTROL;GetThreadContext(PI.hThread, &Context); |
3. 在子进程中分配空间
1 2 | Buffer = VirtualAllocEx(PI.hProcess, NULL, sizeof(SHELL_CODE), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); |
SHELL_CODE是我定义的结构体,szPath是dll的路径,szInstruction是我加载dll的代码
1 2 3 4 5 | typedef struct _SHELL_CODE{ char szPath[MAX_PATH]; char szInstruction[0x20];} SHELL_CODE, *PSHELL_CODE; |
4. 定义shellcode
1 2 3 | CHAR szDllName[] = "injection.dll";CHAR szShellCode[] = "\x60\x68\x12\x34\x56\x78\xb8\x12\x34\x56\x78\xff\xd0\x61\xe9\x12\x34\x56\x78"; |
szShellCode转化成汇编代码如下所示:
1 2 3 4 5 6 | pushadpush 0x78563412mov eax, 0x78563412call eaxpopadjmp 0x78563412 |
0x78563412是我预先填的地址,随后填为真正的地址。
5. 修改shellcode
1 2 3 4 | *(DWORD*)(szShellCode + 2) = (DWORD)Buffer;*(DWORD*)(szShellCode + 7) = (DWORD)LoadLibraryA;*(DWORD*)(szShellCode + 15) = Context.Eip - (DWORD)((PUCHAR)Buffer + FIELD_OFFSET(SHELL_CODE, szInstruction) + sizeof(szShellCode) - 1); |
第一个是填写字符串的地址,第二个是填写LoadLibraryA的地址,第三个是填写jmp到原来的EIP的地址。
6. 将shellcode写到为子进程分配的内存中
1 2 3 4 | SHELL_CODE ShellCode;CopyMemory(((PSHELL_CODE)&ShellCode)->szPath, szDllName, sizeof(szDllName));CopyMemory(((PSHELL_CODE)&ShellCode)->szInstruction, szShellCode, sizeof(szShellCode));WriteProcessMemory(PI.hProcess, Buffer, &ShellCode, sizeof(SHELL_CODE), &NumberOfBytesWritten) |
7. 设置主线程CONTEXT的EIP并启动
1 2 3 | Context.Eip = (DWORD)(((PSHELL_CODE)Buffer)->szInstruction);SetThreadContext(PI.hThread, &Context);ResumeThread(PI.hThread); |
整个过程结束,当主线程启动时,会加载我们的dll,随后跳到原来的入口点执行代码。思路很简单,大牛勿喷。如有雷同,应该是我井底之蛙了
放个代码:https://github.com/yorath/DllInjection
Github已更新,改为使用EAX来指向我的shellcode
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-_-
我昨晚想到的这方法 居然有人今个就贴出来了,心灵想通 Context.Eip = (DWORD)(((PSHELL_CODE)Buffer)->szInstruction); 改为 Context.Eax = (DWORD)(((PSHELL_CODE)Buffer)->szInstruction); 线程在ring3的第一行代码时,Eax存放的是线程函数起始地址 这个应该更稳妥的,主线程暂停在ntdll空间,由ntdll->EXE入口点 中间还干了事, 昨个我用这个方法修改子线程入口点,也用的是Eip,结果子线程退出时出错,跟了一会才发现子线程返回地址为0 -_-! |
|
|
|
|
|
 不错的代码 以前写过,但是不是利用CONTEXT
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
