首页
社区
课程
招聘
[原创]PE注入DLL
发表于: 2022-8-2 00:14 7487

[原创]PE注入DLL

2022-8-2 00:14
7487

在程序中注入DLL,并在任意位置调用注入DLL中的函数。达到类似Hook的目的。

 

图片描述

 

原本这里是一个函数调用,为了在此处注入代码,jmp到了一个有足够空间的代码区,在执行完注入代码之后又jmp回0x401E2C,使程序按照原来的逻辑执行。

 

图片描述

 

其中0x4034E0到0x4034EA是注入的核心代码,其作用是调用InjectModule.dll中的CommandLooper函数,并传入了两个参数。

 

PE整个修改过程分享如下。

 

一、 添加新节

 

为了有空间插入dll,需要将原有的导入表挪到新的位置,为此添加了新节。将原来的导入表内容填充新节中。

 

图片描述

 

二、 注入导入表

 

图片描述

 

图片描述

 

图片描述

 

图片描述

 

三、修改重定位表

 

因为随机地址的原因,需要修改重定位表。

 

图片描述

 

所以0x28E6这个位置需要重定位。计算器RVA:

 

图片描述

 

所以需要增加这个重定位项目。

 

所以需要移动一下原来重定位表的位置,腾出两个字节来增加这个重定位项。

 

图片描述

 

图片描述

 

FF15之后的二进制来自IAT表。表示一个偏移(RVA)

 

图片描述


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 5054
活跃值: (2821)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
想收藏 收藏不了  "Token check error."
2022-8-2 09:44
0
雪    币: 4271
活跃值: (8640)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
whitehack 想收藏 收藏不了 "Token check error."
谢谢你的支持。可能网站有点问题。
2022-8-2 10:28
0
雪    币: 2903
活跃值: (2828)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
https://bbs.kanxue.com/thread-36497.htm
要是能做个控制台程序,用程序来修改就好了。
2023-1-23 19:46
0
雪    币: 54
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
更安全感觉可以动态注入…然后查找module的base address位置再offset就好了
改exe有点硬核…
这个2年前老外的repo提供了很多注入方法有些现在还是有用的 https://github.com/vinjn/injector
2023-1-25 19:12
0
雪    币: 4271
活跃值: (8640)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
freshreer 更安全感觉可以动态注入…然后查找module的base address位置再offset就好了 改exe有点硬核… 这个2年前老外的repo提供了很多注入方法有些现在还是有用的 https://g ...
谢谢你的建议。这让我写分享更加有意义了
2023-1-25 20:02
0
游客
登录 | 注册 方可回帖
返回
//