32位远程Call原理

dnxl

看到有人问远程调用API源码，随便说了句玩明白了随手就能写，然后就被人..........
其实真的简单啊，常用方法也就是远程创建线程，不过CreateRemoteThread只能带一个参数，有时候需要调用多个参数的函数，所以难点就是用汇编构建一个函数写入目标进程，
再把多个参数写入，远程CALL这个汇编函数，由此函数封装参调用目标函数
源码也没几句，懒得去弄API，就用我原来发过的模块写

  

子程序名	返回值类型	公开	备 注
x86远程CALL	整数型
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型
函数指针	整数型
参数数量	整数型
参数1	整数型
参数2	整数型
参数3	整数型
参数4	整数型
参数5	整数型
参数6	整数型
参数7	整数型
参数8	整数型
参数9	整数型
参数10	整数型

变量名	类 型	静态	数组	备 注
远程参数	整数型		255
临时变量	整数型
TMP	整数型
asmCode	字节集

asmCode ＝ { 85, 139, 236, 139, 69, 8, 139, 80, 4, 133, 210, 116, 9, 131, 234, 1, 255, 116, 144, 8, 235, 243, 255, 16, 139, 85, 8, 137, 2, 201, 194, 4, 0 }
' push ebp
' mov ebp,esp
' mov eax,[ebp+8]
' mov edx,[eax+4]
' tlabel1
' test edx,edx
' je tlabel2
' sub edx,01
' push [eax+edx*4+8]
' jmp tlabel1
' tlabel2
' call [eax]
' mov edx,[ebp+8]
' mov [edx],eax
' ret 04
远程参数 [1] ＝ 函数指针
远程参数 [2] ＝ 参数数量
远程参数 [3] ＝ 参数1
远程参数 [4] ＝ 参数2
远程参数 [5] ＝ 参数3
远程参数 [6] ＝ 参数4
远程参数 [7] ＝ 参数5
远程参数 [8] ＝ 参数6
远程参数 [9] ＝ 参数7
远程参数 [10] ＝ 参数8
远程参数 [11] ＝ 参数9
远程参数 [12] ＝ 参数10
临时变量 ＝ TR_进程_申请内存 (进程ID, 4096)
TR_内存_写字节集 (进程ID, TR_Hex (临时变量), asmCode)
asmCode ＝ 指针到字节集 (Pint (远程参数 [1]), 取数组成员数 (远程参数) × 4)
TR_内存_写字节集 (进程ID, TR_Hex (临时变量 ＋ 256), asmCode)
TR_进程_创建线程 (进程ID, 临时变量, 临时变量 ＋ 256)
TMP ＝ TR_内存_读整数 (进程ID, TR_Hex (临时变量 ＋ 256), 4)
TR_进程_释放内存 (进程ID, 临时变量)
返回 (TMP)

.版本 2<br /> <br /> .子程序 x86远程CALL, 整数型<br /> .参数 进程ID, 整数型<br /> .参数 函数指针, 整数型<br /> .参数 参数数量, 整数型<br /> .参数 参数1, 整数型, 可空<br /> .参数 参数2, 整数型, 可空<br /> .参数 参数3, 整数型, 可空<br /> .参数 参数4, 整数型, 可空<br /> .参数 参数5, 整数型, 可空<br /> .参数 参数6, 整数型, 可空<br /> .参数 参数7, 整数型, 可空<br /> .参数 参数8, 整数型, 可空<br /> .参数 参数9, 整数型, 可空<br /> .参数 参数10, 整数型, 可空<br /> .局部变量 远程参数, 整数型, , "255"<br /> .局部变量 临时变量, 整数型<br /> .局部变量 TMP, 整数型<br /> .局部变量 asmCode, 字节集<br /> <br /> asmCode ＝ { 85, 139, 236, 139, 69, 8, 139, 80, 4, 133, 210, 116, 9, 131, 234, 1, 255, 116, 144, 8, 235, 243, 255, 16, 139, 85, 8, 137, 2, 201, 194, 4, 0 }<br /> ' push ebp<br /> ' mov ebp,esp<br /> ' mov eax,[ebp+8]<br /> ' mov edx,[eax+4]<br /> ' tlabel1<br /> ' test edx,edx<br /> ' je tlabel2<br /> ' sub edx,01<br /> ' push [eax+edx*4+8]<br /> ' jmp tlabel1<br /> ' tlabel2<br /> ' call [eax]<br /> ' mov edx,[ebp+8]<br /> ' mov [edx],eax<br /> ' ret 04<br /> 远程参数 [1] ＝ 函数指针<br /> 远程参数 [2] ＝ 参数数量<br /> 远程参数 [3] ＝ 参数1<br /> 远程参数 [4] ＝ 参数2<br /> 远程参数 [5] ＝ 参数3<br /> 远程参数 [6] ＝ 参数4<br /> 远程参数 [7] ＝ 参数5<br /> 远程参数 [8] ＝ 参数6<br /> 远程参数 [9] ＝ 参数7<br /> 远程参数 [10] ＝ 参数8<br /> 远程参数 [11] ＝ 参数9<br /> 远程参数 [12] ＝ 参数10<br /> 临时变量 ＝ TR_进程_申请内存 (进程ID, 4096)<br /> TR_内存_写字节集 (进程ID, TR_Hex (临时变量), asmCode)<br /> asmCode ＝ 指针到字节集 (Pint (远程参数 [1]), 取数组成员数 (远程参数) × 4)<br /> TR_内存_写字节集 (进程ID, TR_Hex (临时变量 ＋ 256), asmCode)<br /> TR_进程_创建线程 (进程ID, 临时变量, 临时变量 ＋ 256)<br /> TMP ＝ TR_内存_读整数 (进程ID, TR_Hex (临时变量 ＋ 256), 4)<br /> TR_进程_释放内存 (进程ID, 临时变量)<br /> 返回 (TMP)

调用方法
以目标进程MessageBoxA为例
以上字程序参数全是整数型，这个函数有两个是文本型（其实就是文本指针，本质还是整数），所以要把文本写入目标进程它才能找到。

  

子程序名	返回值类型	公开	备 注
_按钮1_被单击

变量名	类 型	静态	数组	备 注
临时	整数型
函数指针	整数型
进程ID	整数型

进程ID ＝ 11428
临时 ＝ TR_进程_申请内存 (进程ID, 4096)
TR_内存_写文本 (进程ID, TR_Hex (临时), “我是内容”)
TR_内存_写文本 (进程ID, TR_Hex (临时 ＋ 256), “我是标题”)
函数指针 ＝ TR_进程_取函数指针Ex (进程ID, “user32”, “MessageBoxA”)
输出调试文本 (x86远程CALL (进程ID, 函数指针, 4, 0, 临时, 临时 ＋ 256, 64 ＋ 4))
TR_进程_释放内存 (进程ID, 临时)

.版本 2<br /> <br /> .子程序 _按钮1_被单击<br /> .局部变量 临时, 整数型<br /> .局部变量 函数指针, 整数型<br /> .局部变量 进程ID, 整数型<br /> <br /> 进程ID ＝ 11428<br /> 临时 ＝ TR_进程_申请内存 (进程ID, 4096)<br /> TR_内存_写文本 (进程ID, TR_Hex (临时), “我是内容”)<br /> TR_内存_写文本 (进程ID, TR_Hex (临时 ＋ 256), “我是标题”)<br /> 函数指针 ＝ TR_进程_取函数指针Ex (进程ID, “user32”, “MessageBoxA”)<br /> 输出调试文本 (x86远程CALL (进程ID, 函数指针, 4, 0, 临时, 临时 ＋ 256, 64 ＋ 4))<br /> TR_进程_释放内存 (进程ID, 临时)

这个11428是个delphi写的程序
CALL 它的MessageBoxA 取回返回值

其实就这么简单

vodvod

厉害了

林旎冉

        支持开源~！感谢分享

易小白2022

学习，感谢分享

金B镶钻一炮十万

可惜我水平太菜，不懂怎么用

精易论坛龙

感谢分享

spldj145

加以改进，真的很不错！！！

qqmqqg

6666666666666668888888888888888888

㠫孬嫑夯芘

羡慕会汇编和懂windowsAPI的人