IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> crackme杂记 003 -> 正文阅读

[系统运维]crackme杂记 003

关于dll劫持的一些补充:

如何寻找dll文件,dll文件储存在两个文件夹中,一个是system32文件夹,一个是SysWOW64文件夹,但是前者储存的却是64位程序运行的环境,后者则是32位程序运行的环境。

如何知道想要劫持的dll是否为系统重点保护的,可以查看注册表里的键值,路径如下,里面的dll都是受系统保护的

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\knowndlls

当我们想要加载的是64位的dll,系统却给我们加载了32位的dll怎么办

//判断我们的进程是否为WOW64子系统下的进程
		//返回是否成功
		if (IsWow64Process((HANDLE)-1, &isWow64Process/*接收返回值,是否执行成功*/))
		{
			//自己判断是否为Wow64下的进程
			if (isWow64Process)
			{
				GetSystemWow64Directory(tzPath, MAX_PATH);
			}
			else
			{
				GetSystemDirectory(tzPath, MAX_PATH);
			}
		}

这样就可以判断程序是否能运行成功,如果无法运行成功的话就会转到system32的目录下了。

绕过crc检测的方法3:

因为crc检测导致我们无法修改程序代码,所以我们可以先获取关键跳的地址以后,然后直接强行修改EIP的值就可以实现跳过了,如何实现,利用代码实现,如下图,先设置一个异常捕获,然后设置好异常捕获的模板后再设置硬件断点
在这里插入图片描述

在这里插入图片描述
关于硬件断点是什么意思可以看我之前的笔记 crackme杂记 002
注:这里有一个小bug,关于win10使用这个方法是不能成功的,这里nck老师给我们看了setthreadcontext函数的备注:
在这里插入图片描述所以,win10想要实现硬件断点的话,需要先将线程挂起,设置好断点以后再恢复。如下图的两个函数:先是挂起线程,然后再回复线程
在这里插入图片描述
虽然但是,运行了一下发现没什么作用啊,是因为我们这个dll就在主线程里面,挂起了还如何起作用?所以正确的思路应该是先创建一个新的线程,然后再进行我们刚开始的操作。
在这里插入图片描述
下图是创建线程的模板

直接将原来的挂起主线程等等函数放到这个模板里,然后
在这里插入图片描述
整体代码的思路就是:先设置一个异常处理函数,然后使用

HANDLE hTread = CreateThread(NULL,0,ThreadProc,(LPVOID)ThreadProc,0,NULL)

打开一个新的进程,通过lpParameter获得线程的ID,然后就能再新的进程里通过

HANDLE hTread = OpenThread(THREAD_ALL_ACCESS_ , TRUE ,(DWORD)lpPARAMETER )

使用线程ID打开线程得到线程句柄,接下来挂起主进程,设置硬件断点,回复进程就ok了。

关于线程ID和线程句柄的解释:

ID是系统中运行的线程的唯一数字标识符。与任何内核对象句柄一样,线程句柄可以看作是指向内核对象的特殊类型的引用计数指针。
在内核空间中有一个THREAD类型的对象,ID = 12345
并且因为你想对线程做一些事情,你的地址空间中有一个指针,称为一个值为44的threadID。
请注意,同一内核对象的不同句柄具有不同的值(指向一个对象的两个指针),并且内核对象可以在多个进程中具有句柄。

个人理解就是ID就像线程的名字,可以通过这个来调取对应的线程,而句柄则可以让你获得这个线程的支配权。

绕过crc检测的办法4:
直接在退出函数中下断点,昨天看的课程中讲到了这里,下过断点以后,等程序停止了直接查看堆栈窗口中看看是哪个函数停止了我们的程序,跟进去了却发现并不是我们的退出程序,当时的猜测好像是因为在这个退出程序调用了call,所以找不到,纳闷我们就直接通过堆栈窗口看到的程序名搜索这个函数,搜索出来下了断点以后,重新尝试下断点,发现竟然没用,为什么呢?是因为程序调用的dll文件中,有两个dll文件,kernelbase.dll,和kernel32.dll都包含了退出程序,而当我们下断点的时候,od会给我们搜索函数,第一个搜索出来的当然是地址靠前的,而程序使用的确实地址靠后的那个,所以并不是我们的方法不管用,只是断点没有下到正确的地方,重新下断点,直接输入完整的路径:kernel32.
这样就成功了

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-08-20 15:29:39  更:2021-08-20 15:30:33 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 19:04:57-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计