刺激战场
六合彩
贵宾厅
  • 2976阅读
  • 1回复

天道酬勤YY20140322公开课 [复制链接]

上一主题 下一主题
离线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2014-03-23
— 本帖被 啊冲 执行加亮操作(2014-10-28) —


下周六晚8点YY公开课内容《异步过程调用注入》



[]天道酬勤YY20140322]

挂起法注入

CreateProcess()  //创建进程   你来启动程序

F:\\Game\\CA.exe

DWORD dwCreationFlags,   === CREATE_SUSPENDED


系统已经将所有的资源准备好了  //系统的DLL已经映射完毕

lpProcessInformation //把程序的参数传递出来

HANDLE hGameMainThread = lpProcessInformation.hThread;

GetThreadContext  //获得线程上下文


LPCONTEXT lpContext

OrgEnterPoint = lpContext.eax //原始入口点

VirtualAlloc

WriteProcessMemory

02020000 C:\\Game\\Fuck.dll   <----游标
020200XX PUSH 02020000        <-----EIP
020200XX mov  eax,LoadLibray
xxxxxxx  call eax
         jmp OrgEntryPoint

//

WinLogon.exe  --->CreateProcess

    DWORD dwMyMemroy = VirtualAllocEx(hProcess, NULL, 1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    CONTEXT ctx;
    GetThreadContext(hThread, &ctx);

    DWORD OrgEnterPoint = ctx.Eax;  //原始入口点保存
    //获取上下文环境中待执行的下条指令地址
    //
       DWORD oldIP = ctx.Eip;  

    //替换上下文环境中下条指令地址,使其指向我们的注入代码stub
    //
       ctx.Eip = (DWORD)dwMyMemroy; //伪造的代码空间
       ctx.ContextFlags = CONTEXT_CONTROL;

   //
       const char* strPath = "C:\\Game\\Fuck.dll";  //DLL路径
       DWORD dwBybyte = 0;
       DWORD dwPoint = dwMyMemroy;

       int nstrLength = strlen(strPath);

       WriteProcessMemory(hProcess,dwPoint,strPath,nstrLength,&dwBybyte);  
       dwPoint +=dwBybyte;  //推进游标
       CHAR szPush[5] = {0x68,0x90,0x90,0x90,0x90};   //push DLL路径
       *(DWORD*)&szPush[1] = dwMyMemroy;
       WriteProcessMemory(hProcess,dwPoint,szPush,5,&dwBybyte);
       dwPoint +=dwBybyte;  //推进游标
       CHAR szMov[5] =  {0xB8,0x90,0x90,0x90,0x90};  //mov eax,LoadLibrary
       HMODULE hModule = GetModuleHandle("Kernel32.dll");
       DWORD dwLoadLibrary = GetProcAddress(hModule,"LoadLibrary");
       *(DWORD*)&szMov[1] = dwLoadLibrary;
        WriteProcessMemory(hProcess,dwPoint,szMov,5,&dwBybyte);
        dwPoint +=dwBybyte;  //推进游标
        CHAR szCall[2] = {0xFF,0xD0};               //Call eax
        WriteProcessMemory(hProcess,dwPoint,szCall,2,&dwBybyte);
        CHAR szJmp[5] = {0xE9,0x90,0x90,0x90,0x90}; //jmp 原始入口点,让程序继续运行
        *(DWORD*)&szJmp[1] = OrgEnterPoint;
        WriteProcessMemory(hProcess,dwPoint,szJmp,5,&dwBybyte);

        //放开线程,继续运行


[问题回答]

我用Win7打开CMD然后打开记事本,结果CMD不关记事本啊

用OD演示一下你掐的这段代码,在哪个地方?

注入的dll模块没抹掉呢,这样游戏不是会检测到吗?

如果加壳了呢 入串为也是已知吗?

完全隐藏DLL实地会不会讲?

游戏检测有哪些啊?DLL怎么才能隐藏好?

远程注入一个DLL,然后CALL代码写在DLL里,这样DLL就是被注入的程序一个内存空间吗?

明白了易语言也OK

我要学C++没教程啊

孙鑫C++怎么样

老师有没有C++课程?

可以用VC++6.0开始不

针对这些堆栈检测,有没好的思路避过一下

我也看了汇编教程,想学C++老师给个推荐啊?

老师你说堆栈会被检测以后的方向是不是读内存和按键?

关于输入法注入?



最后:欢迎加入天道酬勤老师的VIP教程

http://www.tudou.com/programs/view/nhRGEF8B3bM/#


[视频下载]

http://yunpan.cn/csSu47jZ8D4bR  提取码 0947

链接:http://pan.baidu.com/s/1bnpO7Zx 密码:w44f


分享内容 : 天道酬勤YY20140322
分享链接 : http://cloud.189.cn/t/FvUVrqniA36v


天道酬勤YY20140322
115网盘礼包码:5lbc9afj542s
http://115.com/lb/5lbc9afj542s
善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线asd123

只看该作者 沙发  发表于: 2017-10-26
想要发  来彩92
注册链接:http://t.cn/R0LF8nD
(复制在浏览器打开)
下载APP即送19元彩金
【彩92】彩种齐全,秒冲秒提,绝对稳定
【彩92】更有感恩回馈礼品派送,您还在等什么?
更多优惠:http://t.cn/R0LF8nD
详情咨询QQ943638892<br/>牛仔企点辅助软件稳定群发十万好友
asd123
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个