源码是c++代码翻译过来的, 所以, 那些指针读写的偏移我就不做过多的讲解…..
那些偏移都是对应某个成员…. 众所周知, 易语言的数据类型是个坑, 所以, 申请一块空间当成一个结构使用了
愿意研究的话, 结构是这个
typedef struct CALL_ARGUMENT_DATA
{
PFN_RtlInitUnicodeString fnRtlInitUnicodeString; // 加载unicode字符串
PFN_LdrLoadDll fnLdrLoadDll; // 加载dll的函数
// 下面5个是 LdrLoadDll 需要使用的数据, DllName通过RtlInitUnicodeString来提供被 LdrLoadDll 使用
WCHAR DllName[260]; // dll完整路径
PWCHAR DllPath; // LdrLoadDll第一个参数, Dll路径, 可以为0
ULONG Flags; // LdrLoadDll第二个参数, 标识
UNICODE_STRING UnicodeString; // LdrLoadDll第三个参数, dll路径 UNICODE_STRING 结构
HANDLE hModule; // LdrLoadDll第四个参数, 模块地址, 注入后模块地址保存到这里
// 下面这些成员是获取函数地址使用的数据
PFN_LdrGetProcedureAddress fnLdrGetProcedureAddress; // 获取函数地址
PFN_RtlInitAnsiString fnRtlInitAnsiString; // 加载ansi字符串
ANSI_STRING AnsiString; // 获取函数名的ansi字符串结构
ULONG Ordinal; // LdrGetProcedureAddress 第三个参数
PFN_CallFun fun; // LdrGetProcedureAddress第四个参数, 被调用的函数名 函数原型, GetProcAddress() 得到的函数
PFN_MessageBox pfn_MessageBox; // 信息框函数地址
BOOL isDebug; // 是否调试, 调试的话就弹出信息框
char funName[260]; // 被调用的函数名
DWORD funArg; // 传递到被调用的函数参数
LPVOID funRet; // 被调用函数的返回值
char argData[2000]; // 传递到函数里的数据, 参数数据最大支持2000个字节
}*LPCALL_ARGUMENT_DATA;
注入流程:
1. 创建远程线程
2. 注入一段代码到目标进程里执行
3. 这段代码调用 LdrLoadDll 加载dll
4. 调用 LdrGetProcedureAddress 获取函数地址, 然后调用, 返回
2021-12-17 更新
使用了eWOW64Ext http://www.sanye.cx/?id=12671
1. 注入32位进程只能使用32位的dll
2. 注入64位进程只能使用64位的dll
支持注入任务管理器
