180918(使用汇编编写注入代码)

使用汇编编写注入代码

一、目标:

使用汇编可以生成比C语言更自由、更灵活的代码。将纯汇编写的ThreadProc()函数注入目标进程。

二、OD汇编

XySher
Ctrl+G能点击这个NewOriginhere,也就是我们的 此处为EIP选项。
XySher
(原来空格打游戏是跳来跳去,总按,现在玩逆向,空格改指令,快乐的1p。)
勾选这个会把输入代码比已有代码段的地方填充为NOP(No Operation)指令,以整体对齐代码(Code Alignment).
XySher
照着书上填完的汇编代码红了一片…
把字符串填了个XySherlock然后为了保持大小填了两个00 按书上对应的灰色区域就是这里的
XySher
XySher
我们需要先点击这个分析视为再分析才有效
XySher
嘿嘿,快乐。

在后面的操作中发现了一个小小的有趣的地方
XySher
在连续打入感叹号的时候会有一条被识别为 and dword ptr ds:[ecx],esp.
这个地方如果开了dep就会将一个部分标记为不可执行,如果没开dep的话可以进行一下利用,输入3的倍数余2的“!”来在这个位置添加一个and dword ptr ds:[ecx],esp指令