滴水三期:day31.1-代码节空白区添加代码

原创 已于 2023-04-22 03:29:37 修改 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #安全 #反汇编 #内存结构 #PE

于 2022-05-02 13:51:17 首次发布
本文详细介绍了如何在代码节空白区添加MessageBox函数,通过硬编码技巧实现代码注入,并探讨了如何在不同环境下计算地址转换。步骤包括设置断点获取API地址、计算硬编码长度、添加shellcode和调整EOP。

一、代码节空白区添加代码

1.MessageBox函数说明

  • MessageBox()函数:功能是弹出一个标准的Windows对话框;它不是C函数库的标准函数,而是一个API,我们可以用C语言调用API函数。可以理解成我们在C中使用MessageBox函数就表示调用系统提供的API函数–MessageBoxA。包含在头文件windows.h;如果一个程序中包含user32.dll,则此程序就有MessageBoxAAPI函数

  • 函数原型:

    int MessageBox( HWND hWnd,LPCTSTR lpText, LPCTSTR lpCaption = NULL, UINT nType = MB_OK );

  • 四个参数说明:

    1. hWnd:表示窗口句柄,指定该对话框的所有者窗口;如果该参数为空(0/NULL),则该对话框不属于任何窗口
    2. lpText:字符串,指显示在对话框中的内容
    3. lpCaption:字符串,指对话框的标题;如果此参数为空,则默认使用“错误”作为标题
    4. nType:指定显示按钮的数目及形式,表名使用的图标样式、缺省按钮是什么、以及消息框的强制回应等

2.call与jmp指令的硬编码

  • 由于我们现在还没有系统学习过硬编码知识,所以只能先自己编写C看看:我们任意在VC中写一个函数再调用它,编译进入到反汇编查看,右键打开code bytes显示硬编码,可以看到每条指令的左边都是它对应的硬编码,即二进制数(这里用十六进制显示)

  • call指令的硬编码:E8 后面跟了4个字节(转换后的地址)

    注意:硬编码为E8的call,后面跟的地址是相对地址;还有硬编码为FF15的call,后面跟的是绝对地址,即ImageBase + RVA后的地址值

  • jmp指令的硬编码:E9 后面跟了4个字节(转换后的地址)

  • push指令的硬编码:6A 参数的值(传入函数参数的值是什么对应的参数硬编码就是什么)

  • 由于call指令和jmp指令后面跟的是我们想要调用的函数地址或者跳转的地址,那E8和E9后面跟的4个字节是不是就是这个地址本身呢?不是!E8和E9后面跟的地址数据是需要转换得到的

  • E8 和 E9 后面4字节地址X的转换公式:X = 真正要跳转的地址 - E8这条指令的下一行地址(相当于==相对地址),因为call 地址的硬编码固定一共占5字节,所以E8指令的下一行地址 = E8当前地址 + 5;所以公式最终为:X = 要跳转的地址 - (E8的地址 + 该指令长度)==

    注意:这些公式中所用到的地址值全部是可执行文件在4GB虚拟内存中的地址值,不是文件地址!

  • 举例:

    • 构造一个需要调用函数的C代码:

      #include "stdafx.h"
void Function(int a,int b,int c,int d){    
}
int main(int argc,char* argv[]){
    Function(1,2,3,4);
    return 0;
}

    • 查看反汇编:

      image-20211224120248067

    • 计算E8后面跟的4字节地址

      • 因为E8的当前地址为0x00401190,真正要跳转的Function函数的地址为

最低0.47元/天 解锁文章
代码空白添加代码
qq_41232519的博客
08-30 855
文章目录一、 找个可以写二进制的域二、寻找本机MessageBoxA(最终要跳到的地址)三、计算四、修改入口地址 一、 找个可以写二进制的域 二、寻找本机MessageBoxA(最终要跳到的地址) 三、计算 1、要运行代码的地址 E8 = MessageBoxA - 内存中当前代码的偏移地址 - 5 77D5050B - 400F98 - 5 = 7794F56E 2、返回入口地址 E9 = 内存入口的偏移地址 - 内存中当前代码的偏移地址 - 5 4183D7 - 400F9D -5 = 174
OD的简单使用以及一个小程序的破解
tell_me_404的博客
07-26 2977
OD的简单使用一、下载二、窗口三、调试打开方式调试中我们经常要用到的快捷键有这些:附:破解(绕过)一个CRACKME.EXE1、分析程序2、使用OD打开3、寻找 MessageBoxA()函数在何处被调用找到了 MessageBoxA()函数在何处被调用,如下图所示分析反汇编程序接下来是重点操作(思路)成功!!!!!另一种方法:直接修改程序汇编代码 从这这篇博客开始开一个新坑:reverse 的入门 OD(OllyDbg)和IDA Pro这两款工具分别是调试逆向的两款重要工具。虽然两者都兼容动态和静态的调试
Ollydbg 调试软件常用方法之断点
中游鱼的博客
06-23 2502
很全面,多个语言,C语言,VC,VB,易语言,D语言等等语言的汇编调试。
代码空白添加代码(手动)
2514804004的博客
12-04 739
手动添加shellcode,更改程序的第一步
代码空白添加代码(手动)(含C练习代码)【基础函数的实现的源代码在这里面】
lygl35的博客
06-24 1369
7559ED60 > 8BFF mov edi,edi ; HelloWor.
精选资源
guava-31.1-jre.jar
06-23
guava
ASME B31.1-2016 Power Piping.pdf
03-09
### ASME B31.1-2016 Power Piping 核心知识点解析 #### 一、标准概述 **ASME B31.1-2016** 是一个国际性的管道规范标准,该标准全称为《ASME压力管道规范第B31部分:动力管道》(ASME Code for Pressure Piping, ...
implementation ("com.microsoft.onnxruntime:onnxruntime-android:1.15.0") implementation ("com.google.guava:guava:31.1-android") implementation ("androidx.camera:camera-core:1.5.0") implementation ("androidx.camera:camera-view:1.5.0") implementation ("androidx.camera:camera-lifecycle:1.5.0") implementation ("androidx.appcompat:appcompat:1.4.2") implementation ("androidx.constraintlayout:constraintlayout:2.1.4")我这样写有什么错,还需要补充吗
最新发布
05-24
版本 `31.1-android` 是专门为 Android 优化的版本,因此不会导致任何兼容性问题[^3]。 #### 3. **`androidx.camera:camera-core:1.5.0`** `camera-core` 是 CameraX 的核心模块,提供了基本的摄像头功能支持。版本...
PyPI 官网下载 | mypy_boto3_mq-1.16.31.1-py3-none-any.whl
02-04
`mypy_boto3_mq-1.16.31.1-py3-none-any.whl`这个文件名揭示了该库的一些关键信息:首先,`1.16.31.1`表示版本号,意味着这是库的最新稳定版本;`py3`表示该库兼容Python 3版本;`none`意味着该包不依赖特定的平台;...
在任意代码空白添加代码(C语言)
qq_53613951的博客
01-17 1276
在任意代码空白添加代码
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
空白源代碼
05-07
空白文件/上傳測試/空白文件/上傳測試/空白文件/上傳測試
滴水三期完整版(96课时)
04-20
1讲:2015-01-12(进制01) 第2讲:2015-01-13(进制02) 第3讲:2015-01-14(数据宽度-逻辑运算03) 第4讲:2015-01-15(通用寄存器-内存读写04) 第5讲:2015-01-16(内存寻址-堆栈05) 第6讲:2015-01-19(EFLAGS寄存器06) 第7讲:2015-01-20(JCC) 第8讲:2015-01-21(堆栈图) 第8讲:2015-01-21(宝马问题) 第9讲:2015-01-22(堆栈图2) 第10讲:2015-01-23(C语言01_后半段) 第10讲:2015-01-23(C语言完整版) 第11讲:2015-01-26(C语言02_数据类型) 第12讲:2015-01-27(C语言03_数据类型_IF语句) 第13讲:2015-01-28(C语言04_IF语句逆向分析上) 第14讲:2015-01-28(C语言04_IF语句逆向分析下) 第15讲:2015-01-29(C语言04_正向基础) 第16讲:2015-01-30(C语言05_循环语句) 第17讲:2015-02-02(C语言06_参数_返回值_局部变量_数组反汇编) 第18讲:2015-02-02(2015-01-30课后练习) 第19讲:2015-02-03(C语言07_多维数组) 第20讲:2015-02-03(2015-02-02课后练习) 第21讲:2015-02-04(C语言08_结构体) 第22讲:2015-02-05(C语言09_字对齐_结构体数组) 第23讲:2015-02-06(C语言10_Switch语句反汇编) 第24讲:2015-02-26(C语言11_指针1) 第25讲:2015-02-27(C语言11_指针2) 第26讲:2015-02-28(C语言11_指针3) 第27讲:2015-02-28(C语言11_指针4) 第28讲:2015-03-02(C语言11_指针5) 第29讲:2015-03-03(C语言11_指针6) 第30讲:2015-03-04(C语言11_指针7) 第31讲:2015-03-06(C语言11_指针8) 第32讲:2015-03-09(位运算) 第33讲:2015-03-10(内存分配_文件读写) 第34讲:2015-03-11(PE头解析_手动) 第35讲:2015-03-12(PE头字段说明) 第36讲:2015-03-13(PE表) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码空白添加代码) 第39讲:2015-03-18(任意空白添加代码) 第40讲:2015-03-19(新增添加代码) 第41讲:2015-03-20(扩大-合并-数据目录) 第42讲:2015-03-23(静态连接库-动态链接库) 第43讲:2015-03-24(导出表) 第44讲:2015-03-25(重定位表) 第45讲:2015-03-26(移动导出表-重定位表) 第46讲:2015-03-27(IAT表) 第47讲:2015-03-27(导入表) 第48讲:2015-03-30(绑定导入表) 第49讲:2015-03-31(导入表注入) 第50讲:2015-04-01(C++ this指针 类 上) 第51讲:2015-04-01(C++ this指针 类 下) 第52讲:2015-04-02(C++ 构造-析构函数 继承) 第53讲:2015-04-03(C++ 权限控制) 第54讲:2015-04-07(C++ 虚函数表) 第55讲:2015-04-08(C++ 动态绑定-多态-上) 第56讲:2015-04-08(C++ 动态绑定-多态-下) 第57讲:2015-04-09(C++ 模版) 第58讲:2015-04-10(C++ 引用-友元-运算符重载) 第59讲:2015-04-13(C++ new-delete-Vector) 第60讲:2015-04-14(C++Vector实现) 第61讲:2015-04-15(C++链表) 第62讲:2015-04-16(C++链表实现) 第63讲:2015-04-16(C++二叉树) 第64讲:2015-04-17(C++二叉树实现) 第65讲:2015-04-20(Win32 宽字符) 第66讲:2015-04-21(Win32 事件-消息-消息处理函数) 第67讲:2015-04-22(Win32 ESP寻址-定位回调函数-条件断点) 第68讲:2015-04-23(Win32 子窗口-消息处理函数定位) 第69讲:2015-04-24(Win32 资源文件-消息断点) 第70讲:2015-04-27(Win32 提取图标-修改标题) 第71讲:2015-04-28(Win32 通用控件-VM_NOTIFY) 第72讲:2015-04-29(Win32 PE查看器-项目要求) 项目一:PE查看器 开发周期(5天) 需求文档 第73讲:2015-05-07(Win32 创建线程) 第74讲:2015-05-08(Win32 线程控制_CONTEXT) 第75讲:2015-05-11(Win32 临界) 第76讲:2015-05-12(Win32 互斥体) 第77讲:2015-05-13(Win32 事件) 第78讲:2015-05-14(Win32 信号量) 第79讲:2015-05-15(Win32 线程同步与线程互斥) 第80讲:2015-05-18(Win32 进程创建_句柄表) 第81讲:2015-05-20(Win32 以挂起形式创建进程) 第82讲:2015-05-21(Win32 加密壳_项目说明) 项目二:加密壳 开发周期(5天) 需求文档 第83讲:2015-05-28(Win32 枚举窗口_鼠标键盘事件) 第84讲:2015-05-29(Win32 CE练习) 第85讲:2015-06-01(Win32 OD练习) 第86讲:2015-06-03(Win32 ShellCode_远程线程注入) 第87讲:2015-06-04(Win32 加载EXE_模块隐藏) 第88讲:2015-06-09(Win32 IAT_HOOK) 第89讲:2015-06-10(Win32 InlineHook) 第90讲:2015-06-11(Win32 进程通信) 第91讲:2015-06-11(Win32 进程监控_项目说明) 项目三:进程监控 开发周期(5天) 需求文档 第92讲:2015-06-15(硬编码_01) 第93讲:2015-06-16(硬编码_02) 第94讲:2015-06-17(硬编码_03) 第95讲:2015-06-18(硬编码_04) 第96讲:2015-06-19(硬编码_05)
IPMSG.exe 软件
05-18
IPMSG.exe IPMSG.exe IPMSG.exe
空白添加代码
LittleCracker的博客
05-17 1174
菜鸟一只,最近一直在学PE,刚学的往空白添加代码,就想水个贴,然后算是总结一下,大牛就别看了,太菜……    用的软件是WinHex,OD,Petools,跟vs2013,感染的软件是本地的记事本notepad.exe    这是很简单的一个感染,在打开程序之前加上弹窗。先执行我们的弹窗,之后再执行软件自身的代码。     步骤如下:   1、获取MessageBox地址,构造ShellCo...
PE——向空白添加代码
z1041259928的博客
03-13 665
初学这个部分,记下一个简单列子,后面再补充其他成分 向一个程序添加一个对话框,让这个程序在执行的时候,先执行我们加入的对话框 思路:在代码空白添加我们要加入的代码,因为代码的属性就是可读可写可执行,添加到其他需要自己修改属性, E8 和E9 两个硬编码分别是call和jump 都是跟4个字的指令,设这4字为X,这个X=程序真正要跳转的地址减去指令下一条指令的地址 6A是push...
初识PE结构:编程在任意空白添加代码(一)
laobingzai的博客
01-03 1990
我们如果想在任意空白添加隐藏代码:首先我们先实验对PE文件进行正确的读写,是要将.exe文件从硬盘中完整地拷贝到内存中,这时我们称这个在内存数据块为FileBuffer,然后我们要将FileBuffer按照操作系统能运行的要求进行拉伸对齐生成内存映像文件ImageBuffer,我们才能得到正确的偏移,之后将ImageBuffer按照文件对齐的形式转成新的文件NewBuffer,最后将NewBu
滴水三期day32.1-编码实现向添加代码
Edimade的博客
05-02 893
一、编码实现向代码添加代码1.不同软件的地址问题)>二、编写代码1.代码空白添加代码>2.向任何空白添加代码
滴水三期逆向基础系列(三)-新建,可添加代码
henuyl的博客
04-24 517
VOID AddNewSection( size_t sectionLength ){ LPVOID pFileBuffer = NULL; LPVOID pTempFileBuffer = NULL; size_t fileSize = ReadPEFile(FilePath_In, &pFileBuffer); if(pFileBuffer == NULL){ prin...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值