劫持正在运行进程的EIP注入代码的方法

标题】: 劫持正在运行进程的EIP注入代码的方法
【作者】: 火血狼(QQ:65845743)
【工具】: VC++2005, WINXP, WIN7
【声明】: 1.禁止用来做破坏；2.转载请告知作者.
-----------------------------------------------------------------------------
【灵感来源】
近日，在读<<Windows内核编程>>的时候，偶然发现，一个函数GetThreadContext，该函数可以使用户级的 代码访问并操作指定线程的上下文：CONTEXT，通过这个CONTEXT里的一个字段EIP,我们可以得到CPU寄存器的当前值。当时就想，如果通过这 个EIP允许修改，不就可以控制程序流程了吗？查了查资料，果然可以被另外用户态的进程修改，于是做了如下实验，实验目标：劫持EIP，执行自己代码，然 后恢复EIP。

【第一步】修改另外进程的EIP寄存器
SuspendThread(hThread);//这里先让线程挂起，避免EIP乱跑
CONTEXT context;
context.ContextFlags = CONTEXT_CONTROL;
GetThreadContext(hThread, &context);
DWORD dwEIP = context.Eip;
context.ContextFlags = CONTEXT_CONTROL;
//
context.Eip = 0x000000; //这里随便设一个EIP值，导致目标进程崩溃
SetThreadContext(hThread, &context);
ResumeThread(hThread);

通过上面的代码实验，得出结论，EIP的设置是不受限制的。（其中hThread为目标进程的主线程句柄，至于如何得到，很多地方有例子，这里不再普及基础知识）

【第二步】构建合法的EIP值，引导目标进程EIP进入指定代码
在进行这一步的时候我遇到了以下几个问题：1.目标进程只能访问自身的虚拟内存地址；2.如何向内存中放入指定代码。
要解决第一个问题，就要用到
PVOID pCodeRemote = VirtualAllocEx(hProcess, NULL, (size_t)dwCodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE));
这个代码将在目标进程的虚拟内存里申请一块儿大小为dwCodeSize的鲜活内存空间，并把内存起始指针返回。（并且页权限为可执行，可读写）
解决第二个问题，要用到汇编啦
写这样一个函数void __declspec(naked) __stdcall ASM_RemoteFunc(){
_asm{ int 3 }
}
然后把这个函数Copy到刚才的内存中，用到代码
WriteProcessMemory(hProcess, pCodeRemote, (PVOID)ASM_RemoteFunc, (size_t)dwCodeSize, NULL)
到这里，又有疑问了，怎么确定dwCodeSize呢？嗯,可以在函数末尾加个特殊值，然后查找到这个值，就可以确定函数的末尾地址了，嘿嘿，来试试
（naked修饰这里也不解释，请读者自行查资料）
void __declspec(naked) __stdcall ASM_RemoteFunc(){
_asm{ int 3; push 0x12345679 }
}

这样写搜索代码
void* find_ptr(void* mem, DWORD dwv)
{
void* ret_ptr;
__asm
{
mov eax, mem
jmp comp
diff: inc eax
comp: mov ebx, [eax]
cmp ebx, dwv
jnz diff
mov ret_ptr, eax
}
return ret_ptr;
}
最后，函数大小可以通过下面代码来计算:
DWORD dwCodeStart = (DWORD)ASM_RemoteFunc; PVOID ptrCodeLocal = (PVOID)dwCodeStart; DWORD dwCodeEnd = (DWORD)find_ptr(ptrCodeLocal, PLACE_HOLDER_END) + 4; DWORD dwCodeSize = dwCodeEnd - dwCodeStart;
好了，第二部问题解决了，实验一下，果然，目标进程产生中断异常，说明执行了指定代码，但是最终程序还是会崩溃。如何能让程序不崩溃呢？

【第三步】寄存器和堆栈恢复
先分析一下程序为啥崩溃：因为我们改变EIP的时候，其代码有可能处于任何位置，执行完我们的代码后，并没有恢复原来的EIP指针，也没有保护好各个寄存器的值，目标进程会出现不可预计的现象。
如何恢复EIP呢，写过shellcode的人都知道，ret可以做到这一点，于是我们先push当前的EIP,然后，再结束的时候ret，就会返回到原来的地方执行EIP啦，于是这样写：
void __declspec(naked) __stdcall ASM_RemoteFunc(){
_asm{
push 0x12345670
ret
push 0x12345679
}
}
呵呵，有人奇怪了，为啥用0x12345670而不用真正的EIP呢，因为这会儿我们无法得到，运行的时候才有。那怎么办呢？不用急，我们用找函数大小的方法找到0x12345670的地址，然后把目标进程的当前EIP，写入，不就行啦。
void * placeHolderEIP = find_ptr(ptrCodeLocal, 0x12345670);
memcpy((void *)placeHolderEIP, &dwEIP, 4);
运行，安静的通过，哈哈。
下面保护寄存器，并且调用一些有意思的代码：
#define PLACE_HOLDER_EIP 0x12345670
#define PLACE_HOLDER_ST1 0x12345671
#define PLACE_HOLDER_ST2 0x12345672
#define PLACE_HOLDER_FUN 0x12345678
#define PLACE_HOLDER_END 0x12345679
void __declspec(naked) __stdcall ASM_RemoteFunc(){
_asm{
push PLACE_HOLDER_EIP;
pushfd;
pushad;
push MB_OK | MB_ICONINFORMATION
push PLACE_HOLDER_ST1;
push PLACE_HOLDER_ST2;
push NULL
mov eax, PLACE_HOLDER_FUN;
call eax;
popad;
popfd;
ret;
push PLACE_HOLDER_END
}
}

按照同样的内存查找的方法，把指定地方放入自己的值：
HMODULE hModule = 0;
if (!(hModule = LoadLibrary(_T("User32.dll")))) return false;
DWORD funRemote = 0;
if (!(funRemote = (DWORD)GetProcAddress(hModule, "MessageBoxA"))) return false;

PVOID strRemote1 = NULL;
if (!(strRemote1 = VirtualAllocEx(hProcess, NULL, (size_t)(strlen(strPam1) + 1), MEM_COMMIT, PAGE_READWRITE))) return false;
PVOID strRemote2 = NULL;
if (!(strRemote2 = VirtualAllocEx(hProcess, NULL, (size_t)(strlen(strPam2) + 1), MEM_COMMIT, PAGE_READWRITE))) return false;
PVOID pCodeRemote = NULL;
if (!(pCodeRemote = VirtualAllocEx(hProcess, NULL, (size_t)dwCodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE))) return false;
void * placeHolderEIP = find_ptr(ptrCodeLocal, PLACE_HOLDER_EIP);
void * placeHolderST1 = find_ptr(ptrCodeLocal, PLACE_HOLDER_ST1);
void * placeHolderST2 = find_ptr(ptrCodeLocal, PLACE_HOLDER_ST2);
void * placeHolderFUN = find_ptr(ptrCodeLocal, PLACE_HOLDER_FUN);
memcpy((void *)placeHolderEIP, &dwEIP, 4);
memcpy((void *)placeHolderST1, &strRemote1, 4);
memcpy((void *)placeHolderST2, &strRemote2, 4);
memcpy((void *)placeHolderFUN, &funRemote, 4);

最后，把自己的函数复制到目标进程
if (!WriteProcessMemory(hProcess, strRemote1, (LPCVOID)strPam1, strlen(strPam1), NULL)) return false;
if (!WriteProcessMemory(hProcess, strRemote2, (LPCVOID)strPam2, strlen(strPam2), NULL)) return false;
if (!WriteProcessMemory(hProcess, pCodeRemote, ptrCodeLocal, (size_t)dwCodeSize, NULL)) return false;
然后，ResumeThread(hThread)，弹出messagebox，标题是strRemote1,内容为strRemote2指定的字符串值。
点ok后，目标进程安全无恙。大功告成！！

【结论】 EIP就是一切！！