[原创]win7 32位进程注入64位进程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]win7 32位进程注入64位进程

发表于: 2015-8-31 22:13 18020

[原创]win7 32位进程注入64位进程

coolboyme

2015-8-31 22:13

18020

看雪的编辑实在是不能匹配它的牛逼程度。
上word吧。

rt，谈了win7下远程线程注入session隔离的问题。
谈了win7 64系统下32位程序注入32位dll到32位进程，注入64位dll到64位进程。

如果有错误，请不吝指正。
646535763@qq.com

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

32位进程注入64位进程和32位进程.doc （91.00kb，869次下载）

收藏・36

免费・3

支持

最新回复 (22)
b23526 雪币： 4560 活跃值： (1007) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 2 楼还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH] 上传的附件： 32位进程注入64位进程和32位进程.pdf （442.82kb，602次下载） 2015-8-31 22:36 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 3 楼学习一下 2015-8-31 22:54 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 4 楼向X64 csrss.exe创建远程线程一直蓝屏怎么解决呢？ 2015-8-31 23:37 0
liycchd 雪币： 54 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liycchd 5 楼学习学习 2015-9-1 09:08 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 6 楼 http://blog.rewolf.pl/blog/?p=102 原文章出处 --------------------- 看到github是原作者的。。。。 2015-9-1 09:31 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 7 楼 [QUOTE=b23526;1389694]还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH][/QUOTE] 说实话，微软为什么要给程序员这中完全不安全的 API 2015-9-1 11:21 0
isboring 雪币： 26 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	isboring 8 楼 dll处理问题，你在这个进程里调用的函数全部直接进入驱动了所以。。。有些函数是不能乱用的 2015-9-9 08:22 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 9 楼我是来mark然后学习 2015-9-9 11:14 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 46 关注私信	猪会被杀掉 1 10 楼请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章. 2015-9-9 11:22 0
layerfsd 雪币： 8188 活跃值： (2857) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 11 楼 32注入64不难的，特别是楼主提那个外国人的库，结合自己写一些shellcode，例如dllbuff注入，挺好玩的 2015-9-9 11:51 0
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 12 楼多谢楼主分享了！ 2015-9-9 11:52 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 13 楼汗！没写DLL，就是shellcode,就执行了个i=i+1就蓝屏，是远程线程注入进去的 2015-9-10 16:59 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 14 楼 [QUOTE=猪会被杀掉;1391218]请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章.[/QUOTE] 我看了，我感觉和你写的也差不多啊！可能我哪个地方写错了 2015-9-10 17:07 0
丶傃雪币： 203 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	丶傃 15 楼 mark感谢分享 2015-9-10 17:36 0
fishleong 雪币： 33 活跃值： (244) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	fishleong 16 楼支持，好东西，曾经碰过这问题! 2015-9-14 18:18 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 17 楼试了下32位执行64位代码 push 33h call @F @@:add dword ptr [esp],5 retf 没发现跳到64位执行啊，cs寄存器也没变成0x33 。跳到了ntdll_RtlUserThreadStart: 2015-10-25 12:24 0
小菜举手雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	小菜举手 18 楼 mark 好东西 2015-10-26 15:01 0
coolboyme 雪币： 3407 活跃值： (1242) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 23 关注私信	coolboyme 5 19 楼 http://www.vxheaven.org/lib/vrg02.html 备忘 2015-11-23 17:37 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 20 楼 win8.1 环境下64位的ntdll.dll 的基础地址超过0X80000000 没办法获取基础地址。请问要怎么办? 上传的附件： QQ截图20151227163946.png （67.19kb，15次下载） 2015-12-27 16:41 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 21 楼感谢分享 2015-12-27 17:02 0
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 22 楼 X64能否加载32位的dll？如何加载？ 2015-12-27 19:44 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 23 楼下来学习一下. 2015-12-31 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

coolboyme

发帖

112

回帖

335

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
b23526 雪币： 4560 活跃值： (1007) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 2 楼还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH] 上传的附件： 32位进程注入64位进程和32位进程.pdf （442.82kb，602次下载） 2015-8-31 22:36 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 3 楼学习一下 2015-8-31 22:54 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 4 楼向X64 csrss.exe创建远程线程一直蓝屏怎么解决呢？ 2015-8-31 23:37 0
liycchd 雪币： 54 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liycchd 5 楼学习学习 2015-9-1 09:08 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 6 楼 http://blog.rewolf.pl/blog/?p=102 原文章出处 --------------------- 看到github是原作者的。。。。 2015-9-1 09:31 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 7 楼 [QUOTE=b23526;1389694]还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH][/QUOTE] 说实话，微软为什么要给程序员这中完全不安全的 API 2015-9-1 11:21 0
isboring 雪币： 26 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	isboring 8 楼 dll处理问题，你在这个进程里调用的函数全部直接进入驱动了所以。。。有些函数是不能乱用的 2015-9-9 08:22 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 9 楼我是来mark然后学习 2015-9-9 11:14 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 46 关注私信	猪会被杀掉 1 10 楼请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章. 2015-9-9 11:22 0
layerfsd 雪币： 8188 活跃值： (2857) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 11 楼 32注入64不难的，特别是楼主提那个外国人的库，结合自己写一些shellcode，例如dllbuff注入，挺好玩的 2015-9-9 11:51 0
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 12 楼多谢楼主分享了！ 2015-9-9 11:52 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 13 楼汗！没写DLL，就是shellcode,就执行了个i=i+1就蓝屏，是远程线程注入进去的 2015-9-10 16:59 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 14 楼 [QUOTE=猪会被杀掉;1391218]请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章.[/QUOTE] 我看了，我感觉和你写的也差不多啊！可能我哪个地方写错了 2015-9-10 17:07 0
丶傃雪币： 203 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	丶傃 15 楼 mark感谢分享 2015-9-10 17:36 0
fishleong 雪币： 33 活跃值： (244) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	fishleong 16 楼支持，好东西，曾经碰过这问题! 2015-9-14 18:18 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 17 楼试了下32位执行64位代码 push 33h call @F @@:add dword ptr [esp],5 retf 没发现跳到64位执行啊，cs寄存器也没变成0x33 。跳到了ntdll_RtlUserThreadStart: 2015-10-25 12:24 0
小菜举手雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	小菜举手 18 楼 mark 好东西 2015-10-26 15:01 0
coolboyme 雪币： 3407 活跃值： (1242) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 23 关注私信	coolboyme 5 19 楼 http://www.vxheaven.org/lib/vrg02.html 备忘 2015-11-23 17:37 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 20 楼 win8.1 环境下64位的ntdll.dll 的基础地址超过0X80000000 没办法获取基础地址。请问要怎么办? 上传的附件： QQ截图20151227163946.png （67.19kb，15次下载） 2015-12-27 16:41 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 21 楼感谢分享 2015-12-27 17:02 0
heihu 雪币： 1136 活跃值： (683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 22 楼 X64能否加载32位的dll？如何加载？ 2015-12-27 19:44 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 23 楼下来学习一下. 2015-12-31 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复