火絨注入

http://www.mengwuji.net/thread-6765-1-1.html

 

進程加載模塊順序 ：

ModLoad: 00f60000 00f80000 C:\Users\YIFI\Desktop\AVL\Debug\AVL.exe // 本身自己
ModLoad: 77700000 77879000 C:\WINDOWS\SYSTEM32\ntdll.dll 　　　　
ModLoad: 769b0000 76aa0000 C:\WINDOWS\SYSTEM32\KERNEL32.DLL
ModLoad: 76cc0000 76e36000 C:\WINDOWS\SYSTEM32\KERNELBASE.dll
ModLoad: 746a0000 746bc000 C:\WINDOWS\SYSTEM32\VCRUNTIME140D.dll
ModLoad: 5fdb0000 5ff26000 C:\WINDOWS\SYSTEM32\ucrtbased.dll

 

採用加載模塊回調實現

主要步驟:

判斷加載Dll名字  在加載完ntdll以後  由於須要的函數須要在ntdll裏面搜索

在Ntdll裏面獲取ZwProtectVirtualMemory　　LdrLoadDll　　ZwTestAlert地址 （win10取ntdll!LdrGetProcedureAddressForCaller）

在ntdll附近分配注入shellcode須要的內存7.調用ntoskrnl!ZwReadVirtualMemory獲取ntdll!ZwTestAlert處頭5字節的數據保存起來

填寫數據到申請的內存上

調用ntoskrnl!ZwWriteVirtualMemory往剛纔分配的內存區域裏複製配置好的shellcode及shellcode須要的數據。

調用ntoskrnl!ZwProtectVirtualMemory+ZwWriteVirtualMemory+ZwProtectVirtualMemory把{0xE9, ??, ??, ??, ??}（實際上是jmp到shellcode處）複製到ntdll!ZwTestAlert處，覆蓋5個字節

一波斷點以後，拿到了shellcode的位置，跟進去就能夠看出大體思路（應該是手寫的彙編，這裏就不放代碼了）
1.調用ntdll!NtProtectVirtualMemory修改ntdll!ZwTestAlert（這個地址是剛纔第7步就預置好的，不是動態獲取的）的保護頁成PAGE_EXECUTE_READWRITE
2.memcpy恢復ntdll!ZwTestAlert頭部的5字節（這5個字節也是第7步預置好的）
3.調用NtProtectVirtualMemory恢復ntdll!ZwTestAlert保護頁
4.調用ntdll!LdrLoadDll完成工做
5.跳回ntdll!ZwTestAlert處

 代碼連接