代码注入

最新推荐文章于 2021-09-19 18:07:46 发布
最新推荐文章于 2021-09-19 18:07:46 发布
阅读量2.4k 收藏 5
点赞数 1
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39249347/article/details/108213498
版权
  1. 代码注入是一种向目标进程插入独立运行代码并使之运行的技术,它一般调用CreateRomoteThread() API以远程线程形式运行插入的代码,所以也被称为线程注入。
    在这里插入图片描述
  2. 首先向目标进程target.exe插入代码与数据,在此过程中,代码以线程过程(Thread Procedure)形式插入,而代码中使用的数据则以线程参数的形式传入,也就是说,代码与数据是分别注入的。

DLL注入与代码注入

  1. 下面这段代码用来弹出Windows消息框:
DWORD WINAPI ThreadProc(LPVOID lParam)
{
    MessageBoxA(NULL, "www.reversecore.com", "ReverseCore", MB_OK);

    return 0;
}
  1. 若想使用DLL注入技术,则需要把上述代码放入某个DLL文件,然后再将整个DLL文件注入目标进程,采用该技术完成注入后,运行OllyDbg调试器,查看上述ThreadProc()代码区域。
    在这里插入图片描述
  • 10009290与1000929C分别指向DLL数据节区中的字符串(“ReverseCore"、“www.reversecore.com”),上面2条PUSH指令将MessageBoxA() API中要使用的字符串地址存储到栈,1000100E地址处由一条CALL DWORD PTR DS:[100080F0]指令,该指令即使调用user32!MessageBoxA() API的命令,转到100080F0地址处查看。
    在这里插入图片描述
  • 100080F0地址就是DLL的IAT区域,在其上方可用看到其他API的地址,向这样,DLL代码中使用的所有数据均位于DLL的数据区域,采用DLL注入技术,整个DLL会被插入目标进程,代码与数据共存于内存,所以代码能够正常运行,以此不同,代码注入仅向目标进程注入必要的代码,要想使注入的代码正常运行,还必须将代码中使用的数据一同注入。
  1. 使用代码注入的原因
  • 占用内存少:如果要注入的代码与数据较少,那么就不需要将它们做成DLL的形式再注入,此时直接采用代码注入的方式同样能够获得与DLL注入相同的效果,且占用内存会更少。
  • 难以查找痕迹:采用DLL注入方式会在目标进程的内存中留下相关痕迹,很容易让人判断出目标进程是否被执行注入操作,但采用代码注入方式几乎不会留下任何痕迹。

例子

  1. 运行notepad.exe,然后使用Process Explorer查看notepad.exe进程的PID。
    在这里插入图片描述
  2. 运行如下命令
C:\Users\12586\Downloads\example\03\27\bin>CodeInjection.exe 1196
  • notepad.exe进程中弹出一个消息框。
    在这里插入图片描述
  1. CodeInjection.cpp
  • 看一下main()函数
int main(int argc, char *argv[])
{
    DWORD dwPID     = 0;

	if( argc != 2 )
	{
	    printf("\n USAGE  : %s <pid>\n", argv[0]);
		return 1;
	}

	// change privilege
	if( !SetPrivilege(SE_DEBUG_NAME, TRUE) )
        return 1;

    // code injection
    dwPID = (DWORD)atol(argv[1]);
    InjectCode(dwPID);

	return 0;
}
  • main()函数用来调用InjectCode()函数,传入的函数参数为目标进程的PID。
  • ThreadProc()函数即为要注入目标进程的代码。
typedef struct _THREAD_PARAM 
{
    FARPROC pFunc[2];               // LoadLibraryA(), GetProcAddress()
    char    szBuf[4][128];          // "user32.dll", "MessageBoxA", "www.reversecore.com", "ReverseCore"
} THREAD_PARAM, *PTHREAD_PARAM;

typedef HMODULE (WINAPI *PFLOADLIBRARYA)
(
    LPCSTR lpLibFileName
);

typedef FARPROC (WINAPI *PFGETPROCADDRESS)
(
    HMODULE hModule,
    LPCSTR lpProcName
);

typedef int (WINAPI *PFMESSAGEBOXA)
(
    HWND hWnd,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType
);

DWORD WINAPI ThreadProc(LPVOID lParam)
{
    PTHREAD_PARAM   pParam      = (PTHREAD_PARAM)lParam;
    HMODULE         hMod        = NULL;
    FARPROC         pFunc       = NULL;

    // LoadLibrary()
    hMod = ((PFLOADLIBRARYA)pParam->pFunc[0])(pParam->szBuf[0]);    // "user32.dll"
    if( !hMod )
        return 1;

    // GetProcAddress()
    pFunc = (FARPROC)((PFGETPROCADDRESS)pParam->pFunc[1])(hMod, pParam->szBuf[1]);  // "MessageBoxA"
    if( !pFunc )
        return 1;

    // MessageBoxA()
    ((PFMESSAGEBOXA)pFunc)(NULL, pParam->szBuf[2], pParam->szBuf[3], MB_OK);

    return 0;
}
  • 稍微整理下:
hMod = LoadLibraryA("user32.dll");
pFunc = GetProcAddress(hMod, "MessageBoxA");
pFunc = (NULL,"www.revercore.com","ReverseCore",MB_OK);
  • 代码注入技术的核心内容是注入可独立运行的代码,为此,需要同时注入代码与数据,并且要保证代码能够准确引用注入的数据。
  • 上述代码中的ThreadProc()函数可以看到,函数中并未直接调用相关API,也未直接定义使用字符串,它们都是通过THREAD_PARAM结构体以线程参数的形式传递使用。
  • ThreadProc()函数中使用THREAD_PARAM结构体接收2个API地址与4个字符串数据,其中2个API分别为LoadLibraryA()与GetProcAddress(),只要有了这2个API,就能调用所有库函数。
00401000  /. 55             PUSH EBP
00401001  |. 8BEC           MOV EBP,ESP
00401003  |. 56             PUSH ESI
00401004  |. 8B75 08        MOV ESI,DWORD PTR SS:[EBP+8]; [EBP+8] = IParam = address of THREAD_PARAM
00401007  |. 8B0E           MOV ECX,DWORD PTR DS:[ESI]
00401009  |. 8D46 08        LEA EAX,DWORD PTR DS:[ESI+8] ; EAX = "user32.dll"
0040100C  |. 50             PUSH EAX
0040100D  |. FFD1           CALL ECX     ; kernel32.LoadLibraryA()
0040100F  |. 85C0           TEST EAX,EAX
00401011  |. 75 0A          JNZ SHORT 0040101D                       ;  0040101D
00401013  |> B8 01000000    MOV EAX,1
00401018  |. 5E             POP ESI
00401019  |. 5D             POP EBP
0040101A  |. C2 0400        RETN 4
0040101D  |> 8D96 88000000  LEA EDX,DWORD PTR DS:[ESI+88]
00401023  |. 52             PUSH EDX  ; EDX = "MessageBoxA"
00401024  |. 50             PUSH EAX  ; EAX = hMod
00401025  |. 8B46 04        MOV EAX,DWORD PTR DS:[ESI+4]
00401028  |. FFD0           CALL EAX ;kernel32.GetProcAddress
0040102A  |. 85C0           TEST EAX,EAX
0040102C  |.^74 E5          JE SHORT 00401013                        ;  00401013
0040102E  |. 6A 00          PUSH 0
00401030  |. 8D8E 88010000  LEA ECX,DWORD PTR DS:[ESI+188]
00401036  |. 51             PUSH ECX ; ECX = "ReverseCore"
00401037  |. 81C6 08010000  ADD ESI,108
0040103D  |. 56             PUSH ESI ; ESI = "www.reversecore.com"
0040103E  |. 6A 00          PUSH 0
00401040  |. FFD0           CALL EAX ;user32.MessageBoxA()
00401042  |. 33C0           XOR EAX,EAX
00401044  |. 5E             POP ESI
00401045  |. 5D             POP EBP
00401046  \. C2 0400        RETN 4
  • 所有重要数据都是从线程参数IParam[EBP+8]接收使用的,也就说,ThreadProc()函数是可以独立运行的代码。
  1. InjectCode()函数
BOOL InjectCode(DWORD dwPID)
{
    HMODULE         hMod            = NULL;
    THREAD_PARAM    param           = {0,};
    HANDLE          hProcess        = NULL;
    HANDLE          hThread         = NULL;
    LPVOID          pRemoteBuf[2]   = {0,};
    DWORD           dwSize          = 0;

    hMod = GetModuleHandleA("kernel32.dll");

    // set THREAD_PARAM
    param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA");
    param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress");
    strcpy_s(param.szBuf[0], "user32.dll");
    strcpy_s(param.szBuf[1], "MessageBoxA");
    strcpy_s(param.szBuf[2], "www.reversecore.com");
    strcpy_s(param.szBuf[3], "ReverseCore");

    // Open Process
    if ( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS,   // dwDesiredAccess
                                  FALSE,                // bInheritHandle
                                  dwPID)) )             // dwProcessId
    {
        printf("OpenProcess() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    // Allocation for THREAD_PARAM
    dwSize = sizeof(THREAD_PARAM);
    if( !(pRemoteBuf[0] = VirtualAllocEx(hProcess,          // hProcess
                                      NULL,                 // lpAddress
                                      dwSize,               // dwSize
                                      MEM_COMMIT,           // flAllocationType
                                      PAGE_READWRITE)) )    // flProtect
    {
        printf("VirtualAllocEx() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    if( !WriteProcessMemory(hProcess,                       // hProcess
                            pRemoteBuf[0],                  // lpBaseAddress
                            (LPVOID)&param,                 // lpBuffer
                            dwSize,                         // nSize
                            NULL) )                         // [out] lpNumberOfBytesWritten
    {
        printf("WriteProcessMemory() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    // Allocation for ThreadProc()
    dwSize = (DWORD)InjectCode - (DWORD)ThreadProc;
    if( !(pRemoteBuf[1] = VirtualAllocEx(hProcess,          // hProcess
                                      NULL,                 // lpAddress
                                      dwSize,               // dwSize
                                      MEM_COMMIT,           // flAllocationType
                                      PAGE_EXECUTE_READWRITE)) )    // flProtect
    {
        printf("VirtualAllocEx() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    if( !WriteProcessMemory(hProcess,                       // hProcess
                            pRemoteBuf[1],                  // lpBaseAddress
                            (LPVOID)ThreadProc,             // lpBuffer
                            dwSize,                         // nSize
                            NULL) )                         // [out] lpNumberOfBytesWritten
    {
        printf("WriteProcessMemory() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    if( !(hThread = CreateRemoteThread(hProcess,            // hProcess
                                       NULL,                // lpThreadAttributes
                                       0,                   // dwStackSize
                                       (LPTHREAD_START_ROUTINE)pRemoteBuf[1],     // dwStackSize
                                       pRemoteBuf[0],       // lpParameter
                                       0,                   // dwCreationFlags
                                       NULL)) )             // lpThreadId
    {
        printf("CreateRemoteThread() fail : err_code = %d\n", GetLastError());
        return FALSE;
    }

    WaitForSingleObject(hThread, INFINITE);	

    CloseHandle(hThread);
    CloseHandle(hProcess);

    return TRUE;
}
  • injectCode()函数的set THREAD_PARAM部分用来设置THREAD_PARAM结构体变量,它们会注入目标进程,并且以参数形式传递给ThreadProc()线程。
  • 接下来调用了一系列API函数,API函数归纳如下:
OpenProcess();
//data:THREAD_PARAM
VirtualAllocEx();
WriteProcessMemory();
//code:ThreadProc()
VirtualAllocEx();
WriteProcessMemory();

CreateRemoteThread();
  • 上述代码主要用在目标进程中分别为data与code分配内存,并将它们注入目标进程,最后调用CreateRemoteThread() API,执行远程线程。

代码注入调试练习

  1. 用Ollydbg开始调试notepad.exe文件,按F9运行键,是notepad.exe处于Runing状态。
    在这里插入图片描述
  2. 设置OllyDbg的选项后,即可从注入的线程代码开始调试。
    在这里插入图片描述
  • 每当notepad.exe进程中生成新线程,调试器就暂停在线程函数开始的代码位置。
  1. 使用Process Explorer查看notepad.exe的进程PID。
    在这里插入图片描述
  • 在命令窗口输入PID作参数,运行CodeInjection.exe。
C:\Users\12586\Downloads\example\03\27\bin>CodeInjection.exe 13716
  1. 按F9继续运行调试器,代码注入成功后,调试器就会暂停在被注入的线程代码的开始位置,由此开始调试。
    在这里插入图片描述
  • 004E0004地址处的MOV ESI,DWORD PTR SS:[EBP+8],[EBP+8]地址就是ThreadProc()函数的IParam参数,而参数IParam则指向被一同注入的THREAD_PARAM结构体。
    在这里插入图片描述
【漏洞挖掘】——20、RFD漏洞介绍挖掘
Fly_鹏程万里
03-03 2136
RFD(Reflected File Download)即反射型文件下载漏洞,2014年在BlackHat中被提出,该漏洞在原理上类似XSS,在危害上类似DDE,攻击者可以通过一个URL地址使用户下载一个恶意文件,从而危害用户的终端PC,不过这个漏洞很罕见,大多数公司会认为它是一个需要结合社工的低危漏洞,但微软,雅虎,eBay,PayPal和其他许多公司认为这是一个中危漏洞。
【小纸片云注入全套源码 】
最新发布
weixin_49472450的博客
03-29 509
完整的一套验证源码 不是网上流传的那些残端什么的。安卓网络验证一键注入,一机一码授权验证。【小纸片云注入全套源码 】带脱壳系统 整套大小2G多。
代码(执行)注入
ZY95001的博客
09-19 2319
一、
代码注入器
05-11
带Try保护的CALL测试防崩溃. call代码注入器,方便进行注入代码进行调试。
汇编代码注入器,支持x64和x86
04-04
《汇编代码注入器:x64与x86平台的深入探讨》 汇编代码注入器是一种在软件开发和逆向工程中广泛使用的工具,它允许开发者将汇编代码注入到正在运行的进程或系统中,以实现特定功能或进行调试。本文将围绕这个主题,...
x86,x64 汇编代码注入器 C,C++写的
04-15
《x86,x64汇编代码注入器的C/C++实现详解》 在计算机编程领域,代码注入是一种技术,它允许程序将代码插入到另一个正在运行的进程上下文中执行。这种技术通常用于调试、系统监控、性能优化,但也可能被滥用进行恶意...
独立团 x64代码注入器1.0
01-30
独立团 x64代码注入器1.0
x64代码注入器1.0.rar
05-22
本工具由独立团官方开发,用于测试x64程序执行汇编call功能测试,写x64内存辅助必备工具 可以端游,手游模拟器 ...工具作用类似于之前的32位的代码注入器,用于写call之前的分析call测试call参数调用
代码注入器CodeInjector
12-01
**代码注入器CodeInjector详解** 代码注入(Code Injection)是一种技术,它允许程序在另一个进程中注入自定义的代码,以实现特定功能或控制目标进程的行为。`CodeInjector` 是一个开发工具,它提供了对进程进行...
代码注入器
04-04
绝对好东西,报毒请放心使用!良心保证!叶子代码注入器
Windows下的代码注入
Masimaro的专栏
09-09 3213
木马和病毒的好坏很大程度上取决于它的隐蔽性,木马和病毒本质上也是在执行程序代码,如果采用独立进程的方式需要考虑隐藏进程否则很容易被发现,在编写这类程序的时候可以考虑将代码注入到其他进程中,借用其他进程的环境和资源来执行代码。远程注入技术不仅被木马和病毒广泛使用,防病毒软件和软件调试中也有很大的用途,最近也简单的研究过这些东西,在这里将它发布出来。 想要将代码注入到其他进程并能成功执行需要解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值