hoofa 发表于 2024-11-10 16:08

注入汇编代码后,被注入的程序崩溃

用莫离汇编注入器可以成功。
自己写
OpenProcess
VirtualAllocEx
WriteProcessMemory
CreateRemoteThread
运行到CreateRemoteThread后被注入的程序闪退了。

把莫离汇编注入器脱壳后看了下,它没用到VirtualAllocEx和WriteProcessMemory。只用到了CreateRemoteThread。
它是怎么实现的?

snrtdwss 发表于 2024-11-10 19:07

用 pushad    popad

hoofa 发表于 2024-11-10 19:21

x32dbg用线程入口事件看了下。注入的代码里有个call,人家的call是模块名+地址,我的怎么是直接的地址?

苏紫方璇 发表于 2024-11-10 19:22

看了一下调用的ZwAllocateVirtualMemory

苏紫方璇 发表于 2024-11-10 19:27

这注入器用LdrGetProcedureAddress(GetProcAddress)动态调用的api

hoofa 发表于 2024-11-10 22:09

已解决,call指令地址应该是 这个call的下条地址-要call的地址

hoofa 发表于 2024-11-11 00:12

苏紫方璇 发表于 2024-11-10 19:27
这注入器用LdrGetProcedureAddress(GetProcAddress)动态调用的api

GetProcAddress 怎么用?能详细说说吗?

苏紫方璇 发表于 2024-11-11 10:22

hoofa 发表于 2024-11-11 00:12
GetProcAddress 怎么用?能详细说说吗?

这种就是动态调用dll,先调用LoadLibrary或者GetModuleHandle获取dll句柄,然后调用GetProcAddress获取对应dll导出函数的地址,按函数声明调用就可以。代码搜索引擎随便搜一下就有

hoofa 发表于 2024-11-11 13:54

那应该不是,人家没有导出。需要注入汇编去call
页: [1]
查看完整版本: 注入汇编代码后,被注入的程序崩溃


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn