易语言远程汇编-跨进程操作之shellcode操作方法

人亦已歌

原理解释：
通过CreateRemoteThread创建一条线程，该函数需要传入一个子程序指针。
步骤：
1、向被操作进程申请一块内存(0x41000)，用来存储我们的shellcode。
2、向被操作进程申请一块内存(0x41000)，用来存储返回值。
2、编写shellcode(汇编指令)，写入我们申请到的内存中。
3、调用CreateRemoteThread调用0x41000来执行shellcode。
4、等待线程 WaitForSingleObject (, )
5、关闭打开的句柄

  

子程序名	返回值类型	公开	备 注
shellcode方式一

变量名	类 型	静态	数组	备 注
PID	整数型
子程序指针	整数型
返回值	整数型			保存返回结果
shellcode	字节集
hProcess	整数型
hThread	整数型

' 1、申请一个内存(0x41000)，用来不存我们的shellcode。
PID ＝ 进程_名取ID (“加法运算.exe”, )
hProcess ＝ 进程_ID取句柄 (PID)
子程序指针 ＝ 内存_申请内存2 (hProcess, 2048)
返回值 ＝ 内存_申请内存2 (hProcess, 4)
' 2、编写shellcode(汇编指令).
shellcode ＝ pushad ()
shellcode ＝ shellcode ＋ push_常数 (33)  ' 参数2
shellcode ＝ shellcode ＋ push_常数 (22)  ' 参数1
shellcode ＝ shellcode ＋ mov_eax_常数 (十六到十 (“004012C5”))  ' 寄存器只要不影响你的传参即可，建议少用ecx
shellcode ＝ shellcode ＋ call_eax ()
shellcode ＝ shellcode ＋ mov_dword_ptr_eax (返回值)
shellcode ＝ shellcode ＋ popad ()
shellcode ＝ shellcode ＋ ret ()
' 3、写入我们申请到的内存中。
内存_写字节集2 (hProcess, 子程序指针, shellcode)
' 4、CreateRemoteThread调用内存段来执行shellcode。
hThread ＝ CreateRemoteThread (hProcess, 0, 0, 子程序指针, 0, 0, 0)
' 5、等待线程 WaitForSingleObject (, )
WaitForSingleObject (hThread, -1)
调试输出 (内存_读整数2 (hProcess, 返回值))
' 6、关闭打开的句柄
CloseHandle (hThread)
内存_释放2 (hProcess, 子程序指针)
内存_释放2 (hProcess, 返回值)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 shellcode方式一<br /> .局部变量 PID, 整数型<br /> .局部变量 子程序指针, 整数型<br /> .局部变量 返回值, 整数型, , , 保存返回结果<br /> .局部变量 shellcode, 字节集<br /> .局部变量 hProcess, 整数型<br /> .局部变量 hThread, 整数型<br /> <br /> ' 1、申请一个内存(0x41000)，用来不存我们的shellcode。<br /> PID ＝ 进程_名取ID (“加法运算.exe”, )<br /> hProcess ＝ 进程_ID取句柄 (PID)<br /> 子程序指针 ＝ 内存_申请内存2 (hProcess, 2048)<br /> 返回值 ＝ 内存_申请内存2 (hProcess, 4)<br /> ' 2、编写shellcode(汇编指令).<br /> shellcode ＝ pushad ()<br /> shellcode ＝ shellcode ＋ push_常数 (33)  ' 参数2<br /> shellcode ＝ shellcode ＋ push_常数 (22)  ' 参数1<br /> shellcode ＝ shellcode ＋ mov_eax_常数 (十六到十 (“004012C5”))  ' 寄存器只要不影响你的传参即可，建议少用ecx<br /> shellcode ＝ shellcode ＋ call_eax ()<br /> shellcode ＝ shellcode ＋ mov_dword_ptr_eax (返回值)<br /> shellcode ＝ shellcode ＋ popad ()<br /> shellcode ＝ shellcode ＋ ret ()<br /> ' 3、写入我们申请到的内存中。<br /> 内存_写字节集2 (hProcess, 子程序指针, shellcode)<br /> ' 4、CreateRemoteThread调用内存段来执行shellcode。<br /> hThread ＝ CreateRemoteThread (hProcess, 0, 0, 子程序指针, 0, 0, 0)<br /> ' 5、等待线程 WaitForSingleObject (, )<br /> WaitForSingleObject (hThread, -1)<br /> 调试输出 (内存_读整数2 (hProcess, 返回值))<br /> ' 6、关闭打开的句柄<br /> CloseHandle (hThread)<br /> 内存_释放2 (hProcess, 子程序指针)<br /> 内存_释放2 (hProcess, 返回值)

  

子程序名	返回值类型	公开	备 注
shellcode方式二

变量名	类 型	静态	数组	备 注
PID	整数型
子程序指针	整数型
返回值	整数型			保存返回结果
shellcode	字节集
hProcess	整数型
hThread	整数型
_CallWindowProcA	整数型

' 用CreateRemoteThread调用CallWindowProcA，CallWindowProcA再调用子程序指针
' 1、申请一个内存(0x41000)，用来不存我们的shellcode。
PID ＝ 进程_名取ID (“加法运算.exe”, )
hProcess ＝ 进程_ID取句柄 (PID)
子程序指针 ＝ 内存_申请内存2 (hProcess, 2048)
返回值 ＝ 内存_申请内存2 (hProcess, 4)
_CallWindowProcA ＝ 取系统API地址 (“CallWindowProcA”)
' 2、编写shellcode(汇编指令).
shellcode ＝ pushad ()
shellcode ＝ shellcode ＋ push_常数 (33)  ' 参数2
shellcode ＝ shellcode ＋ push_常数 (22)  ' 参数1
shellcode ＝ shellcode ＋ mov_eax_常数 (十六到十 (“004012C5”))  ' 寄存器只要不影响你的传参即可，建议少用ecx
shellcode ＝ shellcode ＋ call_eax ()
shellcode ＝ shellcode ＋ mov_dword_ptr_eax (返回值)
shellcode ＝ shellcode ＋ popad ()
shellcode ＝ shellcode ＋ ret ()
' 3、写入我们申请到的内存中。
内存_写字节集2 (hProcess, 子程序指针, shellcode)
' 4、CreateRemoteThread调用内存段来执行shellcode。
hThread ＝ CreateRemoteThread (hProcess, 0, 0, _CallWindowProcA, 子程序指针, 0, 0)
' hThread ＝ RtlCreateUserThread (hProcess, 0, 0, 0, 0, 0, 子程序指针, 0, 0, 0)
' 5、等待线程 WaitForSingleObject (, )
WaitForSingleObject (hThread, -1)
调试输出 (内存_读整数2 (hProcess, 返回值))
' 6、关闭打开的句柄
CloseHandle (hThread)
内存_释放2 (hProcess, 子程序指针)
内存_释放2 (hProcess, 返回值)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 shellcode方式二<br /> .局部变量 PID, 整数型<br /> .局部变量 子程序指针, 整数型<br /> .局部变量 返回值, 整数型, , , 保存返回结果<br /> .局部变量 shellcode, 字节集<br /> .局部变量 hProcess, 整数型<br /> .局部变量 hThread, 整数型<br /> .局部变量 _CallWindowProcA, 整数型<br /> <br /> ' 用CreateRemoteThread调用CallWindowProcA，CallWindowProcA再调用子程序指针<br /> <br /> ' 1、申请一个内存(0x41000)，用来不存我们的shellcode。<br /> PID ＝ 进程_名取ID (“加法运算.exe”, )<br /> hProcess ＝ 进程_ID取句柄 (PID)<br /> 子程序指针 ＝ 内存_申请内存2 (hProcess, 2048)<br /> 返回值 ＝ 内存_申请内存2 (hProcess, 4)<br /> _CallWindowProcA ＝ 取系统API地址 (“CallWindowProcA”)<br /> <br /> ' 2、编写shellcode(汇编指令).<br /> shellcode ＝ pushad ()<br /> shellcode ＝ shellcode ＋ push_常数 (33)  ' 参数2<br /> shellcode ＝ shellcode ＋ push_常数 (22)  ' 参数1<br /> shellcode ＝ shellcode ＋ mov_eax_常数 (十六到十 (“004012C5”))  ' 寄存器只要不影响你的传参即可，建议少用ecx<br /> shellcode ＝ shellcode ＋ call_eax ()<br /> shellcode ＝ shellcode ＋ mov_dword_ptr_eax (返回值)<br /> shellcode ＝ shellcode ＋ popad ()<br /> shellcode ＝ shellcode ＋ ret ()<br /> ' 3、写入我们申请到的内存中。<br /> 内存_写字节集2 (hProcess, 子程序指针, shellcode)<br /> ' 4、CreateRemoteThread调用内存段来执行shellcode。<br /> hThread ＝ CreateRemoteThread (hProcess, 0, 0, _CallWindowProcA, 子程序指针, 0, 0)<br /> <br /> ' hThread ＝ RtlCreateUserThread (hProcess, 0, 0, 0, 0, 0, 子程序指针, 0, 0, 0)<br /> <br /> <br /> ' 5、等待线程 WaitForSingleObject (, )<br /> WaitForSingleObject (hThread, -1)<br /> 调试输出 (内存_读整数2 (hProcess, 返回值))<br /> ' 6、关闭打开的句柄<br /> CloseHandle (hThread)<br /> 内存_释放2 (hProcess, 子程序指针)<br /> 内存_释放2 (hProcess, 返回值)

被操作的测试程序

点击此处下载

加法运算.zip

329.96 KB

[ 329.96 KB, ,2023-2-14 15:58 上传 ]
[充值金币]

2023-2-14 15:58 上传

点击文件名下载附件

龙胆

是呀也许这就是中国教育饿偏差吧？  非常感谢上文的作者的经验之谈，对于我们这些还没有出炉的是一笔宝贵的财富！！！！

309574018

非常感谢您的提醒，让我认识到我的具体位置，以及我下一步该干什么，谢谢！

dbvdb

^我看了.  我知道了一个程序员不容易  谢谢,前辈指点!  学习了~~~~~~~~~~~~~~~~  谢谢指点,收益很深

jieerluo

看到这些还真是有点兴奋啊。。我想快点学。。可是不知道哪有得教啊

SWolf

受益非浅  

GONNASAYBYE

很好，感觉现在在学校的计算机课太没质量了！！我是新手，希望多点交流啊

chinaboystudent

写得太好了  我是一个在大学里不学无术的家伙  跟很多人一样不知道自己在学什么  不知道自己学得有什么用  多说无意  这张帖子也许会让我受益终生的  谢谢分享

builderscu

学习了  但是我更加差哦

云在天

学海无崖