16,472
社区成员
发帖
与我相关
我的任务
分享小心,小心,再小心,远程进程还是崩溃了!!!????
远程注入的问题,不用DLL,直接往远程进程写代码,用创建远程线程的方法启动代码,为何崩溃???
#include<windows.h>
#include<stdio.h>
char *szText;
/*程序Release下编译*/
void ThreadFunc(FARPROC AddrMessageBoxA)
{
((int (WINAPI*)(HWND,LPCSTR,LPCSTR,UINT))AddrMessageBoxA)(NULL,NULL,NULL,MB_OK);/*第二个参数,如果传递szText,远程进程就会崩溃,数据已经写入远程进程,怎么会呢????*/
}
void AfterThreadFunc()
{
}
void main()
{
char *szBuffer="good luck";
SIZE_T sizeData=sizeof(szBuffer);
SIZE_T sizeCode=(SIZE_T)AfterThreadFunc-(SIZE_T)ThreadFunc;
HWND hwnd=FindWindow(NULL,"扫雷");/*随便找一个窗口*/
if(hwnd==NULL)
{
puts("Cannot find window");
return;
}
DWORD dwProcess;
GetWindowThreadProcessId(hwnd,&dwProcess);
HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcess);
if(hProcess==NULL)
{
puts("OpenProcess failed");
return;
}
LPVOID pAddrData;
LPVOID pAddrCode;
//////////////////////写数据//////////////////////////////////////////////////////////
pAddrData=VirtualAllocEx(hProcess,NULL,sizeData,MEM_COMMIT,PAGE_READWRITE);
if(pAddrData==NULL)
{
puts("VirtualAllocEx failed");
return;
}
if(WriteProcessMemory(hProcess,pAddrData,szBuffer,sizeData,NULL)==0)
{
puts("WriteProcessMemory failed");
return;
}
szText=(char*)pAddrData;//就是这里,已经把指针指向远程的字符串地址了啊?
///////////////写代码/////////////////////////////////////////////////////////////////
pAddrCode=VirtualAllocEx(hProcess,NULL,sizeCode,MEM_COMMIT,PAGE_EXECUTE_READWRITE);
if(pAddrCode==NULL)
{
puts("VirtualAllocEx failed");
return;
}
if(WriteProcessMemory(hProcess,pAddrCode,ThreadFunc,sizeCode,NULL)==0)
{
puts("WriteProcessMemory failed");
return;
}
///////////////////////远程线程启动代码//////////////////////////////////////////////////////
HMODULE hUser32=GetModuleHandle("USER32.dll");
if(hUser32==NULL)
{
puts("GetModuleHandle failed");
return;
}
FARPROC AddrMessageBoxA=GetProcAddress(hUser32,"MessageBoxA");
HANDLE hThread=CreateRemoteThread(hProcess,NULL,NULL,LPTHREAD_START_ROUTINE(pAddrCode),AddrMessageBoxA,0,NULL);
//////////////////////////////////////////////////////////////////////////////////////////////
WaitForSingleObject(hThread,INFINITE);
VirtualFreeEx(hProcess,pAddrData,sizeData,MEM_DECOMMIT);
VirtualFreeEx(hProcess,pAddrCode,sizeCode,MEM_DECOMMIT);
CloseHandle(hThread);
CloseHandle(hProcess);
CloseHandle(hwnd);
}
...全文
请发表友善的回复…
发表回复
yekoufeng 2009-06-03
- 打赏
- 举报
期待答案
yesor 2009-06-03
- 打赏
- 举报
看来必须在CreateRemote传参数啊!!结贴>
yesor 2009-06-03
- 打赏
- 举报
怎么办啊,到底怎么改才好呢?
我编人生不编程 2009-06-02
- 打赏
- 举报
那个注入不错
MARK
帮顶
MARK
帮顶
GaA_Ra 2009-06-02
- 打赏
- 举报
注入的程序代码ThreadFunc如下
00401000 . A1 60994000 MOV EAX,DWORD PTR DS:[409960]
00401005 . 6A 00 PUSH 0
00401007 . 6A 00 PUSH 0
00401009 . 50 PUSH EAX
0040100A . 6A 00 PUSH 0
0040100C . FF5424 14 CALL DWORD PTR SS:[ESP+14]
00401010 . C3 RETN
全局变量保存在DS:[409960]这个地址里
当你写入目标进程时,代码不变
CreateRemoteThread的时候,在目标进程中也按上面的流程执行
那么,他会取目标程序的DS:[409960]作为自己的szText值,而不是注入程序的DS:[409960]作为参数
因此就有违规访问的错误
当把szText改为NULL时,注入的程序代码ThreadFunc如下
00401000 . 6A 00 PUSH 0
00401002 . 6A 00 PUSH 0
00401004 . 6A 00 PUSH 0
00401006 . 6A 00 PUSH 0
00401008 . FF5424 14 CALL DWORD PTR SS:[ESP+14]
0040100C . C3 RETN
不涉及地址相关的操作,因此能够正常.
不知道我这样说对不对~
00401000 . A1 60994000 MOV EAX,DWORD PTR DS:[409960]
00401005 . 6A 00 PUSH 0
00401007 . 6A 00 PUSH 0
00401009 . 50 PUSH EAX
0040100A . 6A 00 PUSH 0
0040100C . FF5424 14 CALL DWORD PTR SS:[ESP+14]
00401010 . C3 RETN
全局变量保存在DS:[409960]这个地址里
当你写入目标进程时,代码不变
CreateRemoteThread的时候,在目标进程中也按上面的流程执行
那么,他会取目标程序的DS:[409960]作为自己的szText值,而不是注入程序的DS:[409960]作为参数
因此就有违规访问的错误
当把szText改为NULL时,注入的程序代码ThreadFunc如下
00401000 . 6A 00 PUSH 0
00401002 . 6A 00 PUSH 0
00401004 . 6A 00 PUSH 0
00401006 . 6A 00 PUSH 0
00401008 . FF5424 14 CALL DWORD PTR SS:[ESP+14]
0040100C . C3 RETN
不涉及地址相关的操作,因此能够正常.
不知道我这样说对不对~
yesor 2009-06-02
- 打赏
- 举报
依然不行!!!!!!!!!!!
stjay 2009-06-02
- 打赏
- 举报
修正
SIZE_T sizeData=strlen(szBuffer)+1;
SIZE_T sizeData=strlen(szBuffer)+1;
stjay 2009-06-02
- 打赏
- 举报
SIZE_T sizeData=strlen(szBuffer);
小心试试
小心试试
