随笔分类 -  注入

钩取API之代码修改方法【一】
摘要:IAT方式就不去花精力了,加了壳的程序用这方法压根用不上。就熟悉一下代码修改方法。书上用的是隐藏进程的实例第一种办法一,枚举进程,给所有进程加载DLL【用远程线程注入】二,传入需要隐藏的进程名三,判断有没有修改过需要钩取的函数,如果还没有修改过就改掉,跳向自己的函数,同时保存好原来的值四,在自己的替... 阅读全文
posted @ 2015-07-19 02:45 笔直的一道弯 阅读(609) 评论(0) 推荐(0)
钩取API之调试器模式
摘要:描述:当代码调试遇到INT3指令就会中断运行,EXCEPTION_BREAKPOINT异常事件会被传送到调试器,此时控制权就到了调试器了,利用这种特性钩取API。流程:将要钩取的API的起始部分修改为0xCC(INT3),控制权移到调试器后执行想实现的代码后,再修改回去重新进入运行状态。LPVOID... 阅读全文
posted @ 2015-07-16 00:59 笔直的一道弯 阅读(357) 评论(0) 推荐(0)
注入DLL之主线程方式
摘要:目前对于APC注入方式依然还没有了解内幕,QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param);但看其调用方式可以猜出一二。,基本也是插入到线程再装载DLL。以前在黑客防线里看到过主线程注入方式装载DLL,研究了一下,发现很像... 阅读全文
posted @ 2015-06-10 18:06 笔直的一道弯 阅读(1291) 评论(0) 推荐(0)
APC注入DLL(一)
摘要:提供一点APC注入的实例:条件:取到进程句柄DWORD APCInject(HANDLE hProcess,DWORD tid){ const char szInjectModName[] = "c:\\testdll.dll"; DWORD dwLen = strlen(szInjectModNa... 阅读全文
posted @ 2015-05-31 23:27 笔直的一道弯 阅读(332) 评论(0) 推荐(0)
机器码注入实例的调试练习(第三个注入实例)
摘要:1,打开文本记事本【这里必须是32位的文本记事本程序】,因为目前的OD无法调试64位程序。。。2,打开之后,用OD附加,按F9运行,因为本实例是用远程注入线程的模式启动注入代码的,所以断一下线程加载。选项-》调试设置-》事件-》中断于新线程3,打开cmd控制台,CD到文件夹路径,输入程序.exe p... 阅读全文
posted @ 2015-05-18 14:49 笔直的一道弯 阅读(477) 评论(0) 推荐(0)
第三个注入实例(机器码的注入)
摘要:注入的机器码是用汇编编译器生成的,与C语言相比,更灵活自由。以前用过一阵MASM,而这本书上是用OD地汇编功能,倒是第一次见过。。。汗,又发现一个没掌握的OD功能。先上传四张图,前三张是注入代码的三种不同形式的呈现:第一张是反汇编指令形式的图第二张是经CTRL+A分析过后的反汇编指令,1033,10... 阅读全文
posted @ 2015-05-18 12:48 笔直的一道弯 阅读(644) 评论(0) 推荐(0)
第二个注入实例之代码注入
摘要:依旧是用远程注入线程的方式注入代码执行。代码与数据得分两部分写入目标程序,然后再执行。贴出实例//CODETYPE.H#include "windows.h"typedef struct _THREAD_PARAM{ FARPROC pFunc[2]; // LoadLibraryA(), GetP... 阅读全文
posted @ 2015-05-16 00:58 笔直的一道弯 阅读(430) 评论(0) 推荐(0)
第一个注入实例【远程注入DLL】
摘要:首先,编译时出现了这样一个问题,WTL的。。。error C2504: “CUpdateUI”: 未定义基类出现上面的情况时需要include 头文件另外在stdfax.h中加入对resource.h的引用吧,要不错误一堆。。。尼妈,不知道是不是VS出了问题。。。变傻了下面开始写第一个注入程序,用远... 阅读全文
posted @ 2015-05-13 22:43 笔直的一道弯 阅读(401) 评论(0) 推荐(0)