R3修改线程上下文EIP实现的无模块注入

最新推荐文章于 2025-06-11 09:07:16 发布
最新推荐文章于 2025-06-11 09:07:16 发布
阅读量4.1k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: RING3 文章标签: 线程 内存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zfdyq0/article/details/40890521
本文介绍了一种使用Shellcode注入技术来挂起并恢复目标进程的方法。通过编写特定的Shellcode,该代码能够弹出消息框,并在执行前后保存和恢复进程的执行上下文,实现了对目标进程的精确控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include "stdafx.h"
#include <windows.h>
#include <iostream>
using std::cin;

DWORD dwOldEip = 0;
DWORD funRemote = 0;

BYTE shellCode[25] = {
        0x68, 0x78, 0x56, 0x34, 0x12,                                //push        12345678h
        0x9C,                                                                                //pushfd
        0x60,                                                                                //pushad
        0x6A, 0x00,                                                                        //push        0
        0x6A, 0x00,                                                                        //push        0
        0x6A, 0x00,                                                                        //push        0
        0x6A, 0x00,                                                                        //push        0
        0xB8, 0x78, 0x56, 0x34, 0x12,                                //mov         eax, 12345678h
        0xFF, 0xD0,                                                                        //call        eax
        0x61,                                                                                //popad
        0x9D,                                                                                //popfd
        0xC3,                                                                                //ret
};


BOOL ThreadContextTest(DWORD dwProcessId, DWORD dwMemSize)
{
        HWND hwnd = FindWindow(NULL, L"Dependency Walker");
        if (!hwnd)
                return FALSE;
        printf("hwnd:%p\n", hwnd);

        // 打开进程
        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
        if (!hProcess)
                return FALSE;

        // 获取主线程ID
        DWORD dwThreadId = GetWindowThreadProcessId(hwnd, NULL);
        printf("dwThreadId:%d\n", dwThreadId);

        HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, dwThreadId);
        // 暂停主线程
        DWORD dwSuspendCount = SuspendThread(hThread);
        printf("暂停线程,任意键恢复线程,dwSuspendCount:%d\n", dwSuspendCount);
        CONTEXT stcContext = { CONTEXT_FULL };
        if (!GetThreadContext(hThread, &stcContext))
                return FALSE;

        HMODULE hModule = LoadLibrary(L"User32.dll");
        funRemote = (DWORD)GetProcAddress(hModule, "MessageBoxA");
        // 获取原始EIP
        dwOldEip = stcContext.Eip;
        printf("stcContext.Eip:%p\n", stcContext.Eip);

        // 申请内存
        LPVOID lpAddr = VirtualAllocEx(hProcess, NULL, dwMemSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
        if (!lpAddr)
                return FALSE;

        printf("lpAddr:%p\n", lpAddr);

        // 构造shellCode
        memcpy(&shellCode[16], &funRemote, 4);
        memcpy(&shellCode[1], &dwOldEip, 4);

        // 写入内存
        BOOL bRet = WriteProcessMemory(hProcess, lpAddr, shellCode, dwMemSize, NULL);
        if (!bRet)
                return FALSE;

        
        // 设置EIP
        stcContext.Eip = (DWORD)lpAddr;
        SetThreadContext(hThread, &stcContext);


        //system("pause");

        DWORD dwResumeCount = ResumeThread(hThread);
        printf("恢复线程,dwResumeCount:%d\n", dwResumeCount);

        return TRUE;
}

int _tmain(int argc, _TCHAR* argv[])
{
        DWORD dwLen = sizeof(shellCode);
        DWORD dwProcessId = 0;
        cin >> dwProcessId;

        ThreadContextTest(dwProcessId, dwLen);

        system("pause");
        return 0;
}

我把执行的代码写成了ShellCode,就是弹一个 MessageBox,但是前面一句和最后一句是重点,第一句是把当前EIP 压栈,最后的RET就是

返回到正确EIP  这个是必须有的,在这里RET指令的内部操作是:栈顶字单元出栈,其值赋给IP寄存器。即实现了一个程序的转移,将栈顶字单元保存

的偏移地址作为下一条指令的偏移地址。

        当然也可以把你自己的执行代码写成函数,遇到的问题就是计算函数的大小,一般方法就是搜索特征码Ret(高老湿说滴),然后特征码地址减

去,函数地址,就是大小~~

由于EIP必须在运行的时候才能得到,所以我把获得的EIP直接MEMCOPY到相应shellCode位置。

运行结果:


无痕注入dll_如何在R3尽量完美的隐藏一个DLL
weixin_39669761的博客
12-19 2423
哈哈哈专栏开通啦!咳咳..这个专栏主要写一些和安全开发的东西,需要一定的相关知识,并且不(定期)更新,恩,就这样主要是前几天群里师傅提出了这个问题,所以就去实现下,现将操作记录与此0x01 从加载开始要注入一个DLL的方法很多,但是我们希望一切在Exe知道之前就能完成(这样最不容易被发现对不),所以NTCreateThread和置换Dll就显得不好使了NTCreateThread创建线程的时间靠后...
黑客编程之线程劫持
weixin_42071117的博客
04-25 800
#include <Windows.h> #include <stdio.h> #pragma pack(1) typedef struct _STCode { BYTE PushCode; // push指令码 DWORD DllAddress; // 注入的dll字符串地址 USHORT CallCode; // call指令码 DWORD FuncAddress; // LoadLibrary函数地址 BYTE LoopCode[7]; // 循环指令 }ST
R3nzSkin注入版EXE无法运行的解决方案分析
最新发布
gitblog_07897的博客
06-11 272
R3nzSkin注入版EXE无法运行的解决方案分析 问题现象 在使用R3nzSkin注入工具时,部分Windows 11用户遇到了程序运行无响应的问题。具体表现为: 双击运行程序后无任何界面显示 任务管理器中可以查看到相关进程 尝试以管理员身份运行或兼容Windows 7模式均无效 新旧版本注入工具都出现相同问题 可能原因分析 经过技术分析,导致该问题的可能原因包括: 路径命名问题:部分用...
隐藏模块(无模块注入
weixin_41875267的博客
09-09 1494
模块隐藏那节课要求完成两个作业,都是隐藏模块,本文介绍两种方法分别如何实现。 方法一:往自己的进程注入游戏主模块 这个题目的意思是将程序的基址设置成高地址,将0x400000空出来,然后将游戏主模块拉伸,修复IAT之后,注入进去。这样做的好处主要是简单,因为不需要修复重定位表了。缺点也很明显,很多时候根本没办法在0x400000处申请足够大的内存容纳游戏程序。,还有就是有些程序跳转到OEP之后会卡住,具体原因我也不知道。我这里用dbgview.exe测试,能够正常启动,这足够说明我的代码没有大...
RIP/EIP 注入
ndl1302732的专栏
10-12 2716
高手请飘过~~~~~~~~~~~~~~~~~ RIP --- x64体系 EIP --- x86体系 RIP/EIP注入原理:     1 挂起目标线程,需要用到 SuspendThread 函数     2 挂起之后获取目标线程上下文,需要用到 GetThreadContext函数       这个函数可以获得一个CONTEXT结构体封装的数据。这个结构体的定义在winnt.h头文件中 ...
[DLL 注入] C/C++ 修改EIP实现DLL注入
LYSM
11-28 1057
背景 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝到里面去,然后修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关,然后跳转回来。下面的例子是实现DLL注入,但是和平时说的远程代码注入注入的逻辑上不同,但是同时都是用到了一个重要的结论就是:很多系统dll的导出函数地址在不同进程中,是一样的. 注意两个问题 1.call 如果直接是个地址的话要这么计算     call RVA - call指令的下一条地址 RVA - (nowaddres
进程线程创建过程
hambaga的博客
03-10 1967
一、进程创建过程 所有进程都通过 PspCreateProcess 函数创建,包括 System 进程。它被三个函数调用,分别是NtCreateProcessEx、PsCreateSystemProcess 和 PspInitPhase0 。 NtCreateProcessEx 是 CreateProcess 的内核服务; PspInitPhase0 函数是系统初始化早期调用的,它创建了 System 进程,System 进程的句柄保存在全局变量 PspInitialSystemProcessHandle
浅析Windows异常处理结构与实现
qq_41861225的博客
05-18 856
浅析Windows异常处理结构与实现   Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH(向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。 一、异常处理的个人理解简述   当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...
浅谈 Signal 与 APC 实现
FadeTrack
07-11 1602
引言之前在学习 linux signal 机制实现的时候,发现和 windows 的APC机制有些不谋而合的味道,遂贴出了二者在使用上相同的片段。今天专程花时间对APC的实现进行了分析,好好扒一扒二者在实现上异同之处。 本文的错误或不足之处望大家指正。本文环境抛开环境对比分析实现是不可能,要限定一个范围。 本文的 signal 机制参考为 linux 1.0.9 本文的 APC 机制参考为 WR
7 APC机制
史D芬周
12-17 710
(只判断用户空间的APC请求是因为在KiDeliverApc函数中会优先处理内核空间的APC然后处理用户空间的APC,因此我们不需要再多余进行判断)
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
10-21
通过修改EIP寄存器实现强行跳转并且注入DLL到目标进程里
易语言线程上下文注入源码-易语言
06-13
易语言线程上下文注入源码
易语言源码易语言线程EIP注入卸载DLL源码.rar
02-21
易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar 易语言源码易语言线程EIP注入卸载DLL源码.rar
易语言线程EIP注入卸载DLL
07-22
易语言线程EIP注入卸载DLL源码,线程EIP注入卸载DLL,打开线程,原_按钮2_被单击,线程EIP注入,取进线程ID,卸载DLL,GetThreadContext,SetThreadContext,打开进程_,OpenThread,关闭内核对象_,取进程线程标识符_,SuspendThread,ResumeThread,GetProcAddress,GetModu
易语言注入DLL模块
07-14
注入DLL,卸载DLL,提取错误标题,提取错误信息,提取错误代码,UnHookDLL,OpenProcess,VirtualAllocEx,CloseHandle,WriteProcessMemory,VirtualFreeEx,GetModuleHandle,GetProcAddress,CreateRemoteThread,WaitForSingleObject,GetExitCodeThread,LoadLibraryEx,F
R3注入
zyorz的博客
05-03 688
流程DLL注入: 1.提升注入者权限(AddDebugPrivilege添加一个Debug权限)2.打开被注入的目标进程获取句柄(OpenProcess传入目标进程ID)3.在目标进程中分配内存(VirtualAllocEx传入句柄分配内存)4.将DLL路径写入到目标内存中(WriteProcessMemory传入分配后返回的地址)5.获取kernel32中LoadLibraryA地址,调用Cre
c语言获取当前线程的id,根据线程eip信息来获取当前的函数地址解决方案
weixin_32434033的博客
05-24 681
C/C++ codeCONTEXT context;HANDLE hThread = GetCurrentThread();HANDLE hProc = GetCurrentProcess();BOOL ret = false;context.ContextFlags = CONTEXT_FULL;ret = GetThreadContext(hThread,&context);STAC...
8-DLL注入eip(rip)劫持注入
weixin_40332490的博客
01-06 397
windows有个特点:相同位数的进程加载同一份系统dll时(例如kernal32.dll),它们导出的函数地址在每个进程中都是相同的,所以只需要获取自己进程内的函数地址,则需要注入的进程的函数地址是一样的。特别注意:必须是相同位数的进程,因为32位和64位加载的是两份不同的系统dll。32位进程使用的是eip,64位进程使用的是rip。指令寄存器可以说是CPU中最重要的寄存器,它指向下一条要执行的指令所存放的地址。说到EIP(RIP)注入dll,就需要先说一下寄存器。
易语言实现线程EIP注入与DLL卸载技术解析
- **GetThreadContext**:获取当前线程上下文信息,上下文信息包括寄存器状态等,这是进行EIP注入前必须掌握的信息。 - **SetThreadContext**:设置线程上下文信息,这可以用来改变线程执行的指令地址,即EIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值