你可以使用 windows 钩子或其他方法使用 c# 进行代码注入吗?我见过很多关于代码注入的事情,但所有这些都是用 C/C++ 完成的。我不懂这两种语言,翻译起来也很困难。有人对如何做到这一点有任何想法吗?
The.Anti.9
问问题
40018 次
4 回答
6
凯文,这是可能的。您可以使用托管 C++ 创建带有窗口挂钩 proc 的库。您需要做的就是使用标准 WinAPI(SetWindowsHookEx 等)将此钩子注入到某个应用程序中。在这个钩子中,您可以调用 System::AppDomain::CurrentDomain->Load 方法将程序集加载到目标应用程序的 AppDomain 中。然后,您可以使用反射调用程序集中定义的方法。例如,Snoop使用此方法。
于 2008-08-23T14:23:52.330 回答
4
Mike Stall 有这个示例,它使用 CreateRemoteThread。它的优点是不需要任何 C++。
于 2008-11-03T21:26:24.260 回答
4
编辑:我似乎误解了这个问题....我的印象是这个问题是关于将代码注入当前进程的。
我加入聚会很晚,但几周前我刚刚使用了这个:
委托包含私有字段IntPtr _methodPtr和IntPtr _methodPtrAux,它们表示主体的内存地址。通过将字段(通过反射)设置为特定值,可以更改 EIP 将指向的内存地址。
使用此信息,可以执行以下操作:
- 创建一个包含要执行的汇编字节的数组
- 将委托的方法指针移动到有问题的字节
- 呼叫代表
- 利润 ???
(当然,您可以将_methodPtr-value 更改为任何内存地址——即使在内核空间中,但这可能需要适当的执行权限)。
如果您愿意,我在这里有一个工作代码示例:
public static unsafe int? InjectAndRunX86ASM(this Func<int> del, byte[] asm)
{
if (del != null)
fixed (byte* ptr = &asm[0])
{
FieldInfo _methodPtr = typeof(Delegate).GetField("_methodPtr", BindingFlags.NonPublic | BindingFlags.Instance);
FieldInfo _methodPtrAux = typeof(Delegate).GetField("_methodPtrAux", BindingFlags.NonPublic | BindingFlags.Instance);
_methodPtr.SetValue(del, ptr);
_methodPtrAux.SetValue(del, ptr);
return del();
}
else
return null;
}
可以按如下方式使用:
Func<int> del = () => 0;
byte[] asm_bytes = new byte[] { 0xb8, 0x15, 0x03, 0x00, 0x00, 0xbb, 0x42, 0x00, 0x00, 0x00, 0x03, 0xc3 };
// mov eax, 315h
// mov ebx, 42h
// add eax, ebx
// ret
int res = del.InjectAndRunX86ASM(asm_bytes); // should be 789 + 66 = 855
当然,on也可以写如下方法:
public static unsafe int RunX86ASM(byte[] asm)
{
Func<int> del = () => 0; // create a delegate variable
Array.Resize(ref asm, asm.Length + 1);
// add a return instruction at the end to prevent any memory leaks
asm[asm.Length - 1] = 0xC3;
fixed (byte* ptr = &asm[0])
{
FieldInfo _methodPtr = typeof(Delegate).GetField("_methodPtr", BindingFlags.NonPublic | BindingFlags.Instance);
FieldInfo _methodPtrAux = typeof(Delegate).GetField("_methodPtrAux", BindingFlags.NonPublic | BindingFlags.Instance);
_methodPtr.SetValue(del, ptr);
_methodPtrAux.SetValue(del, ptr);
return del();
}
}
可以通过反射对现有方法(不是委托)执行相同的操作:
// UNTESTED //
Action new_method_body = () => { };
MethodInfo nfo = typeof(MyType).GetMethod( ..... );
IntPtr ptr = nfo.MethodHandle.Value; // ptr is a pointer to the method in question
InjectX86ASM(new_method_body, new byte[] { ......., 0xC3 }); // assembly bytes to be injected
int target = new_method_body.Method.MethodHandle.Value.ToInt32();
byte[] redirector = new byte[] {
0xE8, // CALL INSTRUCTION + TARGET ADDRESS IN LITTLE ENDIAN
(byte)(target & 0xff),
(byte)((target >> 8) & 0xff),
(byte)((target >> 16) & 0xff),
(byte)((target >> 24) & 0xff),
0xC3, // RETURN INSTRUCTION
};
Marshal.Copy(redirector, 0, ptr, redirector.Length);
使用任何代码需要您自担风险。代码示例必须使用
/unsafe-compiler 开关进行编译。
于 2016-09-21T15:27:56.617 回答
2
您可以在 CodePlex 站点http://codeinject.codeplex.com/上查看 CInject 以将代码注入到 .NET 程序集中。使用 CInject 时,您无需具备任何代码注入知识即可注入任何代码。
于 2011-12-13T11:44:49.230 回答