05 2015 档案

APC注入DLL(一)
摘要:提供一点APC注入的实例:条件:取到进程句柄DWORD APCInject(HANDLE hProcess,DWORD tid){ const char szInjectModName[] = "c:\\testdll.dll"; DWORD dwLen = strlen(szInjectModNa... 阅读全文
posted @ 2015-05-31 23:27 笔直的一道弯 阅读(331) 评论(0) 推荐(0)
机器码注入实例的调试练习(第三个注入实例)
摘要:1,打开文本记事本【这里必须是32位的文本记事本程序】,因为目前的OD无法调试64位程序。。。2,打开之后,用OD附加,按F9运行,因为本实例是用远程注入线程的模式启动注入代码的,所以断一下线程加载。选项-》调试设置-》事件-》中断于新线程3,打开cmd控制台,CD到文件夹路径,输入程序.exe p... 阅读全文
posted @ 2015-05-18 14:49 笔直的一道弯 阅读(472) 评论(0) 推荐(0)
第三个注入实例(机器码的注入)
摘要:注入的机器码是用汇编编译器生成的,与C语言相比,更灵活自由。以前用过一阵MASM,而这本书上是用OD地汇编功能,倒是第一次见过。。。汗,又发现一个没掌握的OD功能。先上传四张图,前三张是注入代码的三种不同形式的呈现:第一张是反汇编指令形式的图第二张是经CTRL+A分析过后的反汇编指令,1033,10... 阅读全文
posted @ 2015-05-18 12:48 笔直的一道弯 阅读(637) 评论(0) 推荐(0)
第二个注入实例之代码注入
摘要:依旧是用远程注入线程的方式注入代码执行。代码与数据得分两部分写入目标程序,然后再执行。贴出实例//CODETYPE.H#include "windows.h"typedef struct _THREAD_PARAM{ FARPROC pFunc[2]; // LoadLibraryA(), GetP... 阅读全文
posted @ 2015-05-16 00:58 笔直的一道弯 阅读(419) 评论(0) 推荐(0)
修改PE直接加载DLL
摘要:流程:修改可选头里的IMPORT表,添加DLL名及起码一个DLL的导出函数名要点:RAW【文件偏移地址】=RVA【内存偏移地址】-VirtualAdress【内存中的节区起始位置】+PointerToRawData【文件中的节区起始位置】相关结构typedefstruct_IMAGE_IMPORT_... 阅读全文
posted @ 2015-05-14 15:07 笔直的一道弯 阅读(964) 评论(0) 推荐(0)
第一个注入实例【远程注入DLL】
摘要:首先,编译时出现了这样一个问题,WTL的。。。error C2504: “CUpdateUI”: 未定义基类出现上面的情况时需要include 头文件另外在stdfax.h中加入对resource.h的引用吧,要不错误一堆。。。尼妈,不知道是不是VS出了问题。。。变傻了下面开始写第一个注入程序,用远... 阅读全文
posted @ 2015-05-13 22:43 笔直的一道弯 阅读(397) 评论(0) 推荐(0)
钩子遇到的第一个问题
摘要:写了第一个钩子,全局的屏记事本的输入,结果无效。代码如下:#include "stdio.h"#include "windows.h"#define DEF_PROCESS_NAME"notepad.exe"HINSTANCE g_hInstance = NULL;HHOOK g_hHook = N... 阅读全文
posted @ 2015-05-12 01:27 笔直的一道弯 阅读(224) 评论(0) 推荐(0)