注入汇编代码后，被注入的程序崩溃

hoofa · 发表于 2024-11-10 16:08

用莫离汇编注入器可以成功。
自己写
OpenProcess
VirtualAllocEx
WriteProcessMemory
CreateRemoteThread
运行到CreateRemoteThread后被注入的程序闪退了。

把莫离汇编注入器脱壳后看了下，它没用到VirtualAllocEx和WriteProcessMemory。只用到了CreateRemoteThread。
它是怎么实现的？

snrtdwss · 发表于 2024-11-10 19:07

用 pushad popad

hoofa · 发表于 2024-11-10 19:21

x32dbg用线程入口事件看了下。注入的代码里有个call，人家的call是模块名+地址，我的怎么是直接的地址？

苏紫方璇 · 发表于 2024-11-10 19:22

看了一下调用的ZwAllocateVirtualMemory

苏紫方璇 · 发表于 2024-11-10 19:27

这注入器用LdrGetProcedureAddress（GetProcAddress）动态调用的api

hoofa · 发表于 2024-11-10 22:09

已解决，call指令地址应该是这个call的下条地址-要call的地址

hoofa · 发表于 2024-11-11 00:12

苏紫方璇发表于 2024-11-10 19:27
这注入器用LdrGetProcedureAddress（GetProcAddress）动态调用的api

GetProcAddress 怎么用？能详细说说吗？

苏紫方璇 · 发表于 2024-11-11 10:22

hoofa 发表于 2024-11-11 00:12
GetProcAddress 怎么用？能详细说说吗？

这种就是动态调用dll，先调用LoadLibrary或者GetModuleHandle获取dll句柄，然后调用GetProcAddress获取对应dll导出函数的地址，按函数声明调用就可以。代码搜索引擎随便搜一下就有

hoofa · 发表于 2024-11-11 13:54

那应该不是，人家没有导出。需要注入汇编去call

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] 注入汇编代码后，被注入的程序崩溃

点评