[原创]win7 32位进程注入64位进程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]win7 32位进程注入64位进程

发表于: 2015-8-31 22:13 18227

[原创]win7 32位进程注入64位进程

coolboyme

2015-8-31 22:13

18227

看雪的编辑实在是不能匹配它的牛逼程度。
上word吧。

rt，谈了win7下远程线程注入session隔离的问题。
谈了win7 64系统下32位程序注入32位dll到32位进程，注入64位dll到64位进程。

如果有错误，请不吝指正。
646535763@qq.com

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

32位进程注入64位进程和32位进程.doc （91.00kb，874次下载）

收藏・36

免费・3

支持

最新回复 (22)
b23526 雪币： 4560 活跃值： (1037) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 2 楼还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH] 上传的附件： 32位进程注入64位进程和32位进程.pdf （442.82kb，608次下载） 2015-8-31 22:36 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 3 楼学习一下 2015-8-31 22:54 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 4 楼向X64 csrss.exe创建远程线程一直蓝屏怎么解决呢？ 2015-8-31 23:37 0
liycchd 雪币： 54 活跃值： (234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liycchd 5 楼学习学习 2015-9-1 09:08 0
goddkiller 雪币： 485 活跃值： (113) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 2 关注私信	goddkiller 6 楼 7c1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2J5k6i4N6G2L8r3k6Q4x3X3g2H3L8q4)9J5c8X3u0D9L8$3N6Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3e0l9J5 原文章出处 --------------------- 看到github是原作者的。。。。 2015-9-1 09:31 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 7 楼 [QUOTE=b23526;1389694]还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH][/QUOTE] 说实话，微软为什么要给程序员这中完全不安全的 API 2015-9-1 11:21 0
isboring 雪币： 26 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	isboring 8 楼 dll处理问题，你在这个进程里调用的函数全部直接进入驱动了所以。。。有些函数是不能乱用的 2015-9-9 08:22 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 9 楼我是来mark然后学习 2015-9-9 11:14 0
猪会被杀掉雪币： 18 活跃值： (1064) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 503 粉丝 46 关注私信	猪会被杀掉 1 10 楼请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章. 2015-9-9 11:22 0
layerfsd 雪币： 8197 活跃值： (3302) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 8 关注私信	layerfsd 4 11 楼 32注入64不难的，特别是楼主提那个外国人的库，结合自己写一些shellcode，例如dllbuff注入，挺好玩的 2015-9-9 11:51 0
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 12 楼多谢楼主分享了！ 2015-9-9 11:52 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 13 楼汗！没写DLL，就是shellcode,就执行了个i=i+1就蓝屏，是远程线程注入进去的 2015-9-10 16:59 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 14 楼 [QUOTE=猪会被杀掉;1391218]请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章.[/QUOTE] 我看了，我感觉和你写的也差不多啊！可能我哪个地方写错了 2015-9-10 17:07 0
丶傃雪币： 203 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	丶傃 15 楼 mark感谢分享 2015-9-10 17:36 0
fishleong 雪币： 33 活跃值： (254) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	fishleong 16 楼支持，好东西，曾经碰过这问题! 2015-9-14 18:18 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 17 楼试了下32位执行64位代码 push 33h call @F @@:add dword ptr [esp],5 retf 没发现跳到64位执行啊，cs寄存器也没变成0x33 。跳到了ntdll_RtlUserThreadStart: 2015-10-25 12:24 0
小菜举手雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	小菜举手 18 楼 mark 好东西 2015-10-26 15:01 0
coolboyme 雪币： 3398 活跃值： (1300) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 30 关注私信	coolboyme 5 19 楼 005K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6^5K9r3g2S2N6X3g2F1i4K6u0W2L8%4u0Y4i4K6u0r3L8r3W2T1i4K6u0r3N6Y4u0Y4x3o6u0Q4x3X3g2Z5N6r3#2D9i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. 备忘 2015-11-23 17:37 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 20 楼 win8.1 环境下64位的ntdll.dll 的基础地址超过0X80000000 没办法获取基础地址。请问要怎么办? 上传的附件： QQ截图20151227163946.png （67.19kb，16次下载） 2015-12-27 16:41 0
Netfairy 雪币： 200 活跃值： (928) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 21 楼感谢分享 2015-12-27 17:02 0
heihu 雪币： 1138 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 22 楼 X64能否加载32位的dll？如何加载？ 2015-12-27 19:44 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 23 楼下来学习一下. 2015-12-31 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

coolboyme

发帖

112

回帖

335

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
b23526 雪币： 4560 活跃值： (1037) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 2 楼还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH] 上传的附件： 32位进程注入64位进程和32位进程.pdf （442.82kb，608次下载） 2015-8-31 22:36 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 3 楼学习一下 2015-8-31 22:54 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 4 楼向X64 csrss.exe创建远程线程一直蓝屏怎么解决呢？ 2015-8-31 23:37 0
liycchd 雪币： 54 活跃值： (234) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liycchd 5 楼学习学习 2015-9-1 09:08 0
goddkiller 雪币： 485 活跃值： (113) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 2 关注私信	goddkiller 6 楼 7c1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2J5k6i4N6G2L8r3k6Q4x3X3g2H3L8q4)9J5c8X3u0D9L8$3N6Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3e0l9J5 原文章出处 --------------------- 看到github是原作者的。。。。 2015-9-1 09:31 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 7 楼 [QUOTE=b23526;1389694]还是喜欢PDF档,来份PDF整合档 [ATTACH]32位进程注入64位进程和32位进程[/ATTACH][/QUOTE] 说实话，微软为什么要给程序员这中完全不安全的 API 2015-9-1 11:21 0
isboring 雪币： 26 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	isboring 8 楼 dll处理问题，你在这个进程里调用的函数全部直接进入驱动了所以。。。有些函数是不能乱用的 2015-9-9 08:22 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 9 楼我是来mark然后学习 2015-9-9 11:14 0
猪会被杀掉雪币： 18 活跃值： (1064) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 503 粉丝 46 关注私信	猪会被杀掉 1 10 楼请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章. 2015-9-9 11:22 0
layerfsd 雪币： 8197 活跃值： (3302) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 8 关注私信	layerfsd 4 11 楼 32注入64不难的，特别是楼主提那个外国人的库，结合自己写一些shellcode，例如dllbuff注入，挺好玩的 2015-9-9 11:51 0
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 12 楼多谢楼主分享了！ 2015-9-9 11:52 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 13 楼汗！没写DLL，就是shellcode,就执行了个i=i+1就蓝屏，是远程线程注入进去的 2015-9-10 16:59 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 14 楼 [QUOTE=猪会被杀掉;1391218]请移步 [URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL] 看下小弟写的文章.[/QUOTE] 我看了，我感觉和你写的也差不多啊！可能我哪个地方写错了 2015-9-10 17:07 0
丶傃雪币： 203 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	丶傃 15 楼 mark感谢分享 2015-9-10 17:36 0
fishleong 雪币： 33 活跃值： (254) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	fishleong 16 楼支持，好东西，曾经碰过这问题! 2015-9-14 18:18 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 17 楼试了下32位执行64位代码 push 33h call @F @@:add dword ptr [esp],5 retf 没发现跳到64位执行啊，cs寄存器也没变成0x33 。跳到了ntdll_RtlUserThreadStart: 2015-10-25 12:24 0
小菜举手雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	小菜举手 18 楼 mark 好东西 2015-10-26 15:01 0
coolboyme 雪币： 3398 活跃值： (1300) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 30 关注私信	coolboyme 5 19 楼 005K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6^5K9r3g2S2N6X3g2F1i4K6u0W2L8%4u0Y4i4K6u0r3L8r3W2T1i4K6u0r3N6Y4u0Y4x3o6u0Q4x3X3g2Z5N6r3#2D9i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. 备忘 2015-11-23 17:37 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 20 楼 win8.1 环境下64位的ntdll.dll 的基础地址超过0X80000000 没办法获取基础地址。请问要怎么办? 上传的附件： QQ截图20151227163946.png （67.19kb，16次下载） 2015-12-27 16:41 0
Netfairy 雪币： 200 活跃值： (928) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 21 楼感谢分享 2015-12-27 17:02 0
heihu 雪币： 1138 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 187 粉丝 0 关注私信	heihu 22 楼 X64能否加载32位的dll？如何加载？ 2015-12-27 19:44 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 23 楼下来学习一下. 2015-12-31 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复