|
|
你没有提供代码,但是大致是以下四种原因导致:
1.权限不足:未启用SeDebugPrivilege权限,导致无法操作目标进程内存
2.32/64位进程冲突,若目标进程为64位,32位注入器需使用VirtualAllocEx而非普通内存申请
3.内存保护属性错误:未设置PAGE_READWRITE权限导致写入失败
4.参数传递错误:文本型参数未转换为指针传递(需用取变量数据地址()或指针到文本())。
========================================================
1.DLL侧代码(被注入部分)
.版本 2
.程序集 程序集1
.子程序 远程调用函数, 整数型, 公开
.参数 参数指针, 整数型
' 从指针还原数据
〖参数1〗 = 指针到文本 (参数指针) ' [1]()
' 执行核心操作(此处演示弹窗)
信息框 (〖参数1〗, 0, , )
返回 0
2.注入器侧代码(关键API封装)
.版本 2
.程序集 窗口程序集_启动窗口
.DLL命令 VirtualAllocEx, 整数型, "kernel32.dll", "VirtualAllocEx"
.参数 进程句柄, 整数型
.参数 地址, 整数型
.参数 大小, 整数型
.参数 类型, 整数型 ' MEM_COMMIT=4096
.参数 保护, 整数型 ' PAGE_READWRITE=4
.DLL命令 WriteProcessMemory, 整数型, "kernel32.dll", "WriteProcessMemory"
.参数 进程句柄, 整数型
.参数 基地址, 整数型
.参数 缓冲区, 整数型
.参数 大小, 整数型
.参数 实际写入, 整数型, 传址
.DLL命令 SuspendThread, 整数型, "kernel32.dll", "SuspendThread"
.参数 线程句柄, 整数型
3.内存分配与调用流程
.子程序 注入并调用
.参数 目标进程ID, 整数型
.局部变量 进程句柄, 整数型
.局部变量 内存地址, 整数型
.局部变量 参数数据, 文本型
.局部变量 线程ID, 整数型
' ① 提权并打开进程
进程句柄 = OpenProcess (2035711, 假, 目标进程ID) ' PROCESS_ALL_ACCESS [2]()
' ② 在目标进程分配内存
内存地址 = VirtualAllocEx (进程句柄, 0, 1024, 4096, 4) ' 分配1KB可读写内存
.如果真 (内存地址 = 0)
信息框 (“内存分配失败!错误码:” + 取错误信息 (), 0, , )
返回
.如果真结束
' ③ 写入参数数据
参数数据 = “需要传递的字符串”
WriteProcessMemory (进程句柄, 内存地址, 取变量数据地址 (参数数据), 取文本长度 (参数数据), 0)
' ④ 挂起主线程
线程句柄 = 取主线程句柄 (目标进程ID) ' 需自定义此函数
SuspendThread (线程句柄)
' ⑤ 注入DLL并调用函数
DLL路径 = “C:\demo.dll ”
DLL句柄 = 远程注入DLL (目标进程ID, DLL路径) ' 精易模块的“DLL注入”
调用函数地址 = GetProcAddress (DLL句柄, “远程调用函数”)
创建远程线程 (进程句柄, 0, 0, 调用函数地址, 内存地址, 0, 0)
' ⑥ 恢复线程
ResumeThread (线程句柄)
CloseHandle (进程句柄)
权限提权代码-必须项
.子程序 提权
.局部变量 令牌, 整数型
OpenProcessToken (-1, 40, 令牌)
LookupPrivilegeValueA (0, “SeDebugPrivilege”, 0)
AdjustTokenPrivileges (令牌, 假, 0, 0, 0, 0)
精易模块替代方案
若内存_申请失败,改用以下API组合:内存地址 = VirtualAllocEx_ (进程句柄, 0, 大小, 4096, 4) [2]()
跨进程文本传递规范
文本型参数必须通过WriteProcessMemory写入目标进程空间
DLL内用指针到文本()还原数据
正确使用进程级内存API和线程冻结时机控制 |
|
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
发表于 
主题置顶卡
沉默卡
变色卡
楼主
扫一扫,关注易界动态