导入表内注入代码(二)
2007-03-17 21:59:50 来源:WEB开发网核心提示: 200. VirtualProtectEx( hProcess,201. (LPVOID)(dwImageBase),202. pimage_nt_headers->OptionalHeader.SizeOfImage,203. PAGE_EXECUTE_READWRITE,204.
200. VirtualProtectEx( hProcess,
201. (LPVOID)(dwImageBase),
202. pimage_nt_headers->OptionalHeader.SizeOfImage,
203. PAGE_EXECUTE_READWRITE,
204. &OldProtect);
205.
206. WriteProcessMemory( hProcess,
207. (LPVOID)(dwImageBase),
208. pMem,
209. pimage_nt_headers->OptionalHeader.SizeOfImage,
210. &dwBytes);
VirtualProtectEx()设置了页有权访问PAGE_EXECUTE_READWRITE保护类型。在WriteProcessMemory被使用时用PAGE_READWRITE访问和在executable page的情况下PAGE_EXECUTE都是必需的。
211. 现在进程准备解冻且生命期将再次启动,但是发生了那么多事。试一下about菜单项你将看见:图 13,这是注入生命期的第一个显示。
212. ResumeThread(hThread);
图 13 -运行时注入ShellAbout() Thunk
我正在考虑其他API thunks的注入,正如我们可以上载其他动态链接库到目标进程里并重定向victim thunk到之,这已在另一文章[3]完全解释了。下一节论述一点关于该实现(重定向技术)带来的灾难之一。你可以自己想像一下其他可能的灾难。
6. Troy horse(特洛伊木马)
总是阻止你浏览器上弹出(窗口)并关闭在你的Internet Explorer自动安装的Active-X控件及插件。它将进入到你的计算机的一个OLE 组件或一个小的DLL插件中以及进入到一个进程的生命期中。有时,这个生命期在一个指定进程的导入表中,比如Yahoo Messenger or MSN Messenger。它可以钩住所有Windows控件并过滤API,哦我的天!我e-mail的密码到哪里去了!这是用户级rootkit [7]的一种可能。它可以植入到你的计算机并偷走你的重要消息。
更多精彩
赞助商链接