[求助]远程线程注入dll，dll中JMP目标函数，但dll中必须有MessageBox，否则不成功，为什么？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 2 楼被hook的程序是用CreateProcessW启动，并挂起 2012-12-26 16:53 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 3 楼 [QUOTE=kankan山石;1128661]远程线程注入dll，dll中JMP目标函数，但dll中必须有MessageBox，否则不成功，为什么？ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: JMP目标函数(); M...[/QUOTE] 肯定是这里的问题，跟有没有MessageBox肯定没有关系，把你的jmp目标函数();代码拿上来 2012-12-26 17:06 0
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 4 楼如果jmp目标函数()有问题，那加一个MessageBox怎么就成功了？目标程序是多线程 2012-12-27 12:33 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 5 楼如果是这样的话,说明Hook环境没考虑好~ 2012-12-27 12:44 0
狼烟断雪币： 303 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	狼烟断 6 楼跳走了怎么跳回来的。 2012-12-27 13:03 0
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 7 楼我重新又尝试了几次，终于发现其实不加MessageBox，jmp目标函数()也是成功的，但jmp目标函数()中的用于表示成功的MessageBox被系统自动处理掉了（大概当异常给throw了）。我想jmp目标函数()中只要和界面有关系的操作都会给throw。但有没有人能告诉我，再前面加了一个MessageBox，是不是系统自动为这个线程加了些什么，使之后能调用MessageBox了？ 2012-12-27 13:08 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 8 楼所以说重点是你的jmp目标函数()中涉及到了些什么东西,才知道对环境有什么需求.... 2012-12-27 16:22 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 9 楼你那个jmp 部分有用到user32.dll里的函数吗，如果有MessageBox的情况下，dll的导入表里会有user32.dll 和MessageBoxW 可以试试把MessageBox换成其他user32.dll中的函数，只要让ImportTable中看到user32.dll 上传的附件： x.png （38.90kb，1次下载） 2012-12-29 21:24 0
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 10 楼过了半个多月，差不多把这个问题忘了，毕竟除了MessageBox弹不出对话框，其他都正常。今天突然又想到一个可能性——MessageBoxW的第一参数我用的是null，一般情况正常，但如果多线程可能就会有问题了 2013-1-17 22:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 2 楼被hook的程序是用CreateProcessW启动，并挂起 2012-12-26 16:53 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 3 楼 [QUOTE=kankan山石;1128661]远程线程注入dll，dll中JMP目标函数，但dll中必须有MessageBox，否则不成功，为什么？ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: JMP目标函数(); M...[/QUOTE] 肯定是这里的问题，跟有没有MessageBox肯定没有关系，把你的jmp目标函数();代码拿上来 2012-12-26 17:06 0
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 4 楼如果jmp目标函数()有问题，那加一个MessageBox怎么就成功了？目标程序是多线程 2012-12-27 12:33 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 5 楼如果是这样的话,说明Hook环境没考虑好~ 2012-12-27 12:44 0
狼烟断雪币： 303 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	狼烟断 6 楼跳走了怎么跳回来的。 2012-12-27 13:03 0
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 7 楼我重新又尝试了几次，终于发现其实不加MessageBox，jmp目标函数()也是成功的，但jmp目标函数()中的用于表示成功的MessageBox被系统自动处理掉了（大概当异常给throw了）。我想jmp目标函数()中只要和界面有关系的操作都会给throw。但有没有人能告诉我，再前面加了一个MessageBox，是不是系统自动为这个线程加了些什么，使之后能调用MessageBox了？ 2012-12-27 13:08 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 8 楼所以说重点是你的jmp目标函数()中涉及到了些什么东西,才知道对环境有什么需求.... 2012-12-27 16:22 0
aj3423 雪币： 196 活跃值： (96) 能力值： ( LV6，RANK：90 ) 在线值：发帖 82 回帖 271 粉丝 2 关注私信	aj3423 2 9 楼你那个jmp 部分有用到user32.dll里的函数吗，如果有MessageBox的情况下，dll的导入表里会有user32.dll 和MessageBoxW 可以试试把MessageBox换成其他user32.dll中的函数，只要让ImportTable中看到user32.dll 上传的附件： x.png （38.90kb，1次下载） 2012-12-29 21:24 0
kankan山石雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 149 粉丝 0 关注私信	kankan山石 10 楼过了半个多月，差不多把这个问题忘了，毕竟除了MessageBox弹不出对话框，其他都正常。今天突然又想到一个可能性——MessageBoxW的第一参数我用的是null，一般情况正常，但如果多线程可能就会有问题了 2013-1-17 22:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复