-
-
[旧帖] [求助]x64下apc注入遇到的问题 0.00雪花
-
发表于: 2016-7-1 18:09
-
1.在网上搜索一一款apc注入的源代码,只支持win732位,大概死路是,在loadImageNotifyRoutine回调里面在exe加载的时候,当加载到ntdll.dll模块的时候开始向EXE插入APC。向目标进程申请一块空间然后调用NtQueueApcThread(ZwCurrentThread(), pfn_BaseDispatchApc, pfn_LoadLibraryA, BaseAddress,NULL);
第二个参数pfn_BaseDispatchApc根据explorer.exe进程中ntdll导出序号8得到的地址,
第三个参数pfn_LoadLibraryA是是根据explorer.exe进程中kernel32.dll导出函数loadlibrarya得到的地址
第四个参数是dll的路径,比如c:\test.dll
在win32位下是没问题的。
我移植到winx64下对64位的进程注入的时候遇到了问题
在x64下NtQueueApcThread(ZwCurrentThread(), pfn_BaseDispatchApc, pfn_LoadLibraryA, BaseAddress);
这里是4个参数,第二个参数第三个参数都是根据64位进程explorer.exe得到的函数地址,c:\test.dll也编译的64位的dll,要注入的进程比如123.exe也编译的64位。在注入APC之后应用程序就报错了。
第二个参数pfn_BaseDispatchApc根据explorer.exe进程中ntdll导出序号8得到的地址,
第三个参数pfn_LoadLibraryA是是根据explorer.exe进程中kernel32.dll导出函数loadlibrarya得到的地址
第四个参数是dll的路径,比如c:\test.dll
在win32位下是没问题的。
我移植到winx64下对64位的进程注入的时候遇到了问题
在x64下NtQueueApcThread(ZwCurrentThread(), pfn_BaseDispatchApc, pfn_LoadLibraryA, BaseAddress);
这里是4个参数,第二个参数第三个参数都是根据64位进程explorer.exe得到的函数地址,c:\test.dll也编译的64位的dll,要注入的进程比如123.exe也编译的64位。在注入APC之后应用程序就报错了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
