[原创]WM 中向其它进程中插入DLL的方法及通用代码-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]WM 中向其它进程中插入DLL的方法及通用代码

发表于: 2009-3-23 19:27 21887

[原创]WM 中向其它进程中插入DLL的方法及通用代码

Yonsm

2009-3-23 19:27

21887

	STATIC HMODULE RemoteLoadLibrary(HANDLE hProcess, PCTSTR ptzPath)
	{
		BOOL bMode = SetKMode(TRUE);
		DWORD dwPerm = SetProcPermissions(0xFFFFFFFF);

		CALLBACKINFO ci;
		ci.hProc= hProcess;
		ci.pFunc = (FARPROC) MapPtrToProcess(GetProcAddress(GetModuleHandle(TEXT("COREDLL")), TEXT("LoadLibraryW")), hProcess);;
		ci.pvArg0 = MapPtrToProcess((PVOID) ptzPath, GetCurrentProcess());
		HMODULE hModule = (HMODULE) PerformCallBack4(&ci, 0, 0, 0);

		SetKMode(bMode);
		SetProcPermissions(dwPerm);
		return hModule;
	}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・11

免费・7

支持

最新回复 (32) 1 2 ▶
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 2 楼 Yonsm老大厉害！一来就爆猛料啊！学习学习！一直在为这个问题，困扰没有好的解决方法。 2009-3-23 19:35 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 3 楼这个是很简单的轻量级方案，我去了个名字叫CodeInj。 SP/PPC通用的方案，叫CodeHij，是一个API Hook的通用方案，其中包括远程进程中执行指定代码的功能。 2009-3-23 19:45 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 4 楼 Yonsm老大研究的确实相当深入。期待爆料....... 2009-3-23 19:53 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 5 楼趁还在，赶紧下一份！在家慢慢研究........ 2009-3-23 20:09 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼赶快下载一份，以防Yonsm后悔删除，呵～ 2009-3-23 20:38 0
手冷雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	手冷 1 7 楼貌似我撞到枪口上了, 刚开始发布东西, 就遇到大神发话了! 寒~~~ 我用的方法是, 修改PE头, 向目标程序中添加要自己需要的DLL的IID(输入表描述符), 以及该DLL中要用到的函数的IAT(输入地址表) 这样, 目标程序在加载时, 加载器会自己准备好所需要的函数地址... 哎, 先拜一下大神吧, 再慢慢写自己的... 2009-3-24 09:04 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 8 楼 Yonsm老大在WM领域有很多年的积累了，我们要向Yonsm学习的东西还很多。慢慢来，一步一步的积累！ 2009-3-24 09:24 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 9 楼严重支持，谢谢分享老大再辛苦一下做个通用的Ptach 工具就幸福了，O(∩_∩)O哈哈~ 2009-3-24 09:28 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 10 楼各有各的用途，你这种方案，你参考一下CodeZap，这个论坛有的，如果能Porting到CE上，那是大大的方便，完全用C可以写工程化的代码，插入代码到PE中机器方便。但目前CodeZap尚未解决CE中如何获取API地址的问题。 2009-3-24 21:57 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 11 楼 [QUOTE=;]...[/QUOTE] 都研究的很深入，目前只能当小学生去听大学生的课，姑且听听。老大要是能出书就好了，我第一个预定。 2009-3-31 17:28 0
Skyer 雪币： 228 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	Skyer 2 12 楼这代码实在是太棒了！精简的代码确很深入.. 2009-4-1 00:11 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 13 楼 Yonsm带动下越来越多会员浮出水面了。 2009-4-1 09:00 0
greatws 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	greatws 14 楼 Yonsm老大厉害，我在WA5.5上测试通过，谢谢了。 2009-4-9 10:48 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 15 楼来晚了，没看到附件……………… 2009-4-10 00:01 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 16 楼所以说Yonsm老大发帖了一定要赶紧看啊。漏了就亏了。问问其他会员吧，应该有很多人都有了。我在公司这边的机器上没有。 2009-4-10 08:03 0
leoxiaofei 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	leoxiaofei 17 楼来晚了，呜呜呜~ 2009-4-13 23:47 0
kaison 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kaison 18 楼来晚了，没看到附件，谁能给我发一份啊 2009-4-16 23:13 0
mowenli 雪币： 126 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	mowenli 19 楼 #ifdef COREDLL DWORD xxx_PerformCallBack4( PCALLBACKINFO pcbi, LPVOID p2, LPVOID p3, LPVOID p4 ); #define PerformCallBack4 xxx_PerformCallBack4 #endif so wm5 wm6 ce6 ...... 2009-4-20 00:04 0
justnetbobo 雪币： 191 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	justnetbobo 20 楼来了忒晚了... 2009-4-26 01:22 0
uudepediy 雪币： 207 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	uudepediy 21 楼不知道在CE6该如何完成performcallback4方式的注入呢？不知道Yonsm可否不吝告知一二呢。 2009-5-7 08:20 0
whzr 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 1 关注私信	whzr 22 楼有点深，但只要学没有学不会的东西。同样没有看到附件！！惋惜呀！ 2009-5-7 08:25 0
chiwing 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 30 粉丝 0 关注私信	chiwing 23 楼有人能答我什么是wm? 2009-5-13 02:00 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 24 楼 Windows Mobile的缩写。 2009-5-13 08:28 0
netdldw 雪币： 430 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	netdldw 25 楼好像没有看到附件啊？ 2009-5-13 08:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Yonsm

发帖

回帖

220

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 2 楼 Yonsm老大厉害！一来就爆猛料啊！学习学习！一直在为这个问题，困扰没有好的解决方法。 2009-3-23 19:35 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 3 楼这个是很简单的轻量级方案，我去了个名字叫CodeInj。 SP/PPC通用的方案，叫CodeHij，是一个API Hook的通用方案，其中包括远程进程中执行指定代码的功能。 2009-3-23 19:45 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 4 楼 Yonsm老大研究的确实相当深入。期待爆料....... 2009-3-23 19:53 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 5 楼趁还在，赶紧下一份！在家慢慢研究........ 2009-3-23 20:09 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼赶快下载一份，以防Yonsm后悔删除，呵～ 2009-3-23 20:38 0
手冷雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	手冷 1 7 楼貌似我撞到枪口上了, 刚开始发布东西, 就遇到大神发话了! 寒~~~ 我用的方法是, 修改PE头, 向目标程序中添加要自己需要的DLL的IID(输入表描述符), 以及该DLL中要用到的函数的IAT(输入地址表) 这样, 目标程序在加载时, 加载器会自己准备好所需要的函数地址... 哎, 先拜一下大神吧, 再慢慢写自己的... 2009-3-24 09:04 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 8 楼 Yonsm老大在WM领域有很多年的积累了，我们要向Yonsm学习的东西还很多。慢慢来，一步一步的积累！ 2009-3-24 09:24 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 9 楼严重支持，谢谢分享老大再辛苦一下做个通用的Ptach 工具就幸福了，O(∩_∩)O哈哈~ 2009-3-24 09:28 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 10 楼各有各的用途，你这种方案，你参考一下CodeZap，这个论坛有的，如果能Porting到CE上，那是大大的方便，完全用C可以写工程化的代码，插入代码到PE中机器方便。但目前CodeZap尚未解决CE中如何获取API地址的问题。 2009-3-24 21:57 0
涛越雪币： 331 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 105 粉丝 0 关注私信	涛越 11 楼 [QUOTE=;]...[/QUOTE] 都研究的很深入，目前只能当小学生去听大学生的课，姑且听听。老大要是能出书就好了，我第一个预定。 2009-3-31 17:28 0
Skyer 雪币： 228 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	Skyer 2 12 楼这代码实在是太棒了！精简的代码确很深入.. 2009-4-1 00:11 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 13 楼 Yonsm带动下越来越多会员浮出水面了。 2009-4-1 09:00 0
greatws 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	greatws 14 楼 Yonsm老大厉害，我在WA5.5上测试通过，谢谢了。 2009-4-9 10:48 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 15 楼来晚了，没看到附件……………… 2009-4-10 00:01 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 16 楼所以说Yonsm老大发帖了一定要赶紧看啊。漏了就亏了。问问其他会员吧，应该有很多人都有了。我在公司这边的机器上没有。 2009-4-10 08:03 0
leoxiaofei 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	leoxiaofei 17 楼来晚了，呜呜呜~ 2009-4-13 23:47 0
kaison 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kaison 18 楼来晚了，没看到附件，谁能给我发一份啊 2009-4-16 23:13 0
mowenli 雪币： 126 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	mowenli 19 楼 #ifdef COREDLL DWORD xxx_PerformCallBack4( PCALLBACKINFO pcbi, LPVOID p2, LPVOID p3, LPVOID p4 ); #define PerformCallBack4 xxx_PerformCallBack4 #endif so wm5 wm6 ce6 ...... 2009-4-20 00:04 0
justnetbobo 雪币： 191 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	justnetbobo 20 楼来了忒晚了... 2009-4-26 01:22 0
uudepediy 雪币： 207 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	uudepediy 21 楼不知道在CE6该如何完成performcallback4方式的注入呢？不知道Yonsm可否不吝告知一二呢。 2009-5-7 08:20 0
whzr 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 1 关注私信	whzr 22 楼有点深，但只要学没有学不会的东西。同样没有看到附件！！惋惜呀！ 2009-5-7 08:25 0
chiwing 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 30 粉丝 0 关注私信	chiwing 23 楼有人能答我什么是wm? 2009-5-13 02:00 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 24 楼 Windows Mobile的缩写。 2009-5-13 08:28 0
netdldw 雪币： 430 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	netdldw 25 楼好像没有看到附件啊？ 2009-5-13 08:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复