当前位置:网站首页>入口点注入

入口点注入

2022-08-05 04:58:00 小鸡岛~

入口点: 每一个程序都有一个入口点地址,比如main函数。我们的ntdll模块加载后会去调用这个入口点地址,然开始执行我们的代码

提出问题:

  1. codeRemoteArea需要做什么事情
    task1:加载我们的注入模块 LoadLibraryW 地址
	存在两个问题:A.CALL xxxx  这个地址无效,为什么?重定位
				 B.push xxxx  字符串地址是错误的
	利用window的动态链接库加载原理:A进程加载了xxx模块*(运行时),B进程也需要加载模块xxx,OS为了节约内存,他会直接使用A进程加载后的模块地址。
task2:	修复入口点地址被破环的5个字节的代码 
task3:  JMP 入口点地址

2.codeRemoteArea函数执行需要什么数据呢?

1.函数指针(LoadLibraryW )  模块路径(dllName)
2.入口点地址(EntryPoint), 存储**被破环的指令**的地方(oldCode)

3.谁去填充这些数据呢?

task1: GetModuleHandleA+偏移地址, 赋值到EntryPoint
task2: 保存被破坏的的指令  入口点地址→oldCode
task3: 破坏入口点地址 JMP 要去的地址T

4.谁去搭建这个数据框架


task1:alloc memory on the GameMemory
原网站

版权声明
本文为[小鸡岛~]所创,转载请带上原文链接,感谢
https://blog.csdn.net/weixin_43468491/article/details/126107980

边栏推荐

猜你喜欢

随机推荐