- 博客(3)
- 收藏
- 关注
RSS订阅原创 注入病毒学习
但是,并不是所有进程都会加载user32.dll,对于那些没有加载user32.dll的进程,注入的代码是无法正常运行的。不过,几乎所有进程都会加载kernel32.dll,而kernel32.dll中又包含LoadLibraryA和GetProcAddress,可以利用它们加载user32.dll并获取MessageBoxA的地址。因此在调用的reloc函数中“pop rbp”将里边在运行时的真实地址放入rbx。用差值与Caption变量的静态编译的地址相加,即可得到运行时的Caption地址。
2025-04-16 19:40:26
981
1这个是文章中用到的代码,包括弹窗病毒的代码,注入程序的代码,以及获取本机Kernel32两个函数的代码
这个是文章中用到的代码,包括弹窗病毒的代码,注入程序的代码,以及获取本机Kernel32两个函数的代码
2025-04-16
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人