實戰代碼注入技術

 實際上就是創建遠程線程，不同的是普通的辦法都是 使用 LoadLibrary 函數，讓其加載我們的dll然后將我們的代碼寫到dllmain 函數里面，已達到執行我們自定義代碼的目的，那么能不能讓目標程序加載我們的dll 并且調用這個dll的導出函數里，這個就要用到代碼注入的技術了，和shellcode 很像，先寫段匯編代碼

  
extern _ExitProcess@4
extern _LoadLibraryA@4
extern _GetProcAddress@8
ExitProcess equ _ExitProcess@4
LoadLibraryA equ _LoadLibraryA@4
GetProcAddress equ _GetProcAddress@8

section .data

section .text

global _start

_start:
    call LAP
    ret
PROCNAME:db 'start',00
DLLNAME:db '1.dll',00
LAP:pop eax  ；代碼自定位
    push eax
    push ebp
    mov ebp,esp
    push LoadLibraryA
    push GetProcAddress
    add  eax,1  ;此時eax指向call 的下一條指令也就是 ret 自增1 指向PROCNAME
    push eax
    add  eax,6 ;6 個字節 就是 PROCNAME 的長度 加之后 eax 指向 DLLNAME　
    push eax
    call [ebp-4]
    test eax,eax
    jz   EXIT
    push eax
    call [ebp-8]
    test eax,eax
    je   EXIT
    call eax
EXIT:leave
     ret

我們的shellcode 將使用 LoadLibrary 和 GetProcAddress 函數來加載一個dll 和調用dll的導出函數，這里有個問題就是雖然Library，GetProcAddress函數我們使用shellcode的時候可以將其更改為正確的函數地址，但是dll的名字還有導出函數的名字，如何在代碼中動態的獲取呢？這里就要用到代碼自定位技術了。很簡單

這樣就定位到了 ret 這條指令的地址 ，然后+1 就得到字符串 start 的地址了。這就完成了代碼的自定位。

剩下的就是調用函數了 將函數的地址都壓到堆棧之中，這樣可以使用 ebp 這個來定位函數指針。具體看代碼。

編譯完成后 使用OD 來加載，然后選中這部分代碼，右鍵2進制復制 ，整理成 shellcode 形式，使用的時候 注意要將其中的 函數地址改成正確的，，Windows的一個特性就是 系統的 dll 在所有的 exe　中都會加載到相同的基質　那么�。幔穑椤〉牡刂吩谒�有的進程中都是一樣的。

下面測試下

#include <windows.h>
#include <STDIO.H>

byte shellcode[] = {\
0xE8,0x0D,0x00,0x00,0x00,
0xC3,0x73,0x74,0x61,0x72,
0x74,0x00,0x31,0x2E,0x64,
0x6C,0x6C,0x00,0x58,0x50,
0x55,0x89,0xE5,0x68,
0x3C,0x10,0x40,0x00,
0x68,
0x42,0x10,0x40,0x00,
0x83,0xC0,
0x01,0x50,0x83,0xC0,0x06,
0x50,0xFF,0x55,0xFC,0x85,
0xC0,0x74,0x0A,0x50,0xFF,
0x55,0xF8,0x85,0xC0,0x74,
0x02,0xFF,0xD0,0xC9,0xC3
};

//Jan 4 2005
//Enable specific privilege
BOOL EnableSpecificPrivilege(BOOL bEnable,LPCTSTR Name)
 

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206
 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]