文章內(nèi)容

實戰(zhàn)代碼注入技術(shù)

發(fā)布時間: 2012/7/28 18:42:14

實際上就是創(chuàng)建遠(yuǎn)程線程，不同的是普通的辦法都是使用 LoadLibrary 函數(shù)，讓其加載我們的dll然后將我們的代碼寫到dllmain 函數(shù)里面，已達(dá)到執(zhí)行我們自定義代碼的目的，那么能不能讓目標(biāo)程序加載我們的dll 并且調(diào)用這個dll的導(dǎo)出函數(shù)里，這個就要用到代碼注入的技術(shù)了，和shellcode 很像，先寫段匯編代碼

extern _ExitProcess@4
extern _LoadLibraryA@4
extern _GetProcAddress@8
ExitProcess equ _ExitProcess@4
LoadLibraryA equ _LoadLibraryA@4
GetProcAddress equ _GetProcAddress@8

section .data

section .text

global _start

_start:
    call LAP
    ret
PROCNAME:db 'start',00
DLLNAME:db '1.dll',00
LAP:pop eax  ；代碼自定位
    push eax
    push ebp
    mov ebp,esp
    push LoadLibraryA
    push GetProcAddress
    add  eax,1  ;此時eax指向call 的下一條指令也就是 ret 自增1 指向PROCNAME
    push eax
    add  eax,6 ;6 個字節(jié) 就是 PROCNAME 的長度加之后 eax 指向 DLLNAME　
    push eax
    call [ebp-4]
    test eax,eax
    jz   EXIT
    push eax
    call [ebp-8]
    test eax,eax
    je   EXIT
    call eax
EXIT:leave
     ret

我們的shellcode 將使用 LoadLibrary 和 GetProcAddress 函數(shù)來加載一個dll 和調(diào)用dll的導(dǎo)出函數(shù)，這里有個問題就是雖然Library，GetProcAddress函數(shù)我們使用shellcode的時候可以將其更改為正確的函數(shù)地址，但是dll的名字還有導(dǎo)出函數(shù)的名字，如何在代碼中動態(tài)的獲取呢？這里就要用到代碼自定位技術(shù)了。很簡單

這樣就定位到了 ret 這條指令的地址，然后+1 就得到字符串 start 的地址了。這就完成了代碼的自定位。

剩下的就是調(diào)用函數(shù)了將函數(shù)的地址都壓到堆棧之中，這樣可以使用 ebp 這個來定位函數(shù)指針。具體看代碼。

編譯完成后使用OD 來加載，然后選中這部分代碼，右鍵2進(jìn)制復(fù)制，整理成 shellcode 形式，使用的時候注意要將其中的函數(shù)地址改成正確的，，Windows的一個特性就是系統(tǒng)的 dll 在所有的 exe　中都會加載到相同的基質(zhì)　那么�。幔穑椤〉牡刂吩谒械倪M(jìn)程中都是一樣的。

下面測試下

#include <windows.h>
#include <STDIO.H>

byte shellcode[] = {\
0xE8,0x0D,0x00,0x00,0x00,
0xC3,0x73,0x74,0x61,0x72,
0x74,0x00,0x31,0x2E,0x64,
0x6C,0x6C,0x00,0x58,0x50,
0x55,0x89,0xE5,0x68,
0x3C,0x10,0x40,0x00,
0x68,
0x42,0x10,0x40,0x00,
0x83,0xC0,
0x01,0x50,0x83,0xC0,0x06,
0x50,0xFF,0x55,0xFC,0x85,
0xC0,0x74,0x0A,0x50,0xFF,
0x55,0xF8,0x85,0xC0,0x74,
0x02,0xFF,0xD0,0xC9,0xC3
};

//Jan 4 2005
//Enable specific privilege
BOOL EnableSpecificPrivilege(BOOL bEnable,LPCTSTR Name)