学步园

      好久没弄这个玩意了，感觉有些过时了，但是这两天突然想到了这个，突然发现有些疑问要解决，所以回过头来看看这个。

#include<stdio.h><br /> #include"windows.h"<br /> typedef struct{<br /> DWORD address;<br /> char a[10];<br /> }info;<br /> typedef int (_stdcall *msgbox)(HWND, LPCTSTR, LPCTSTR, UINT);<br /> DWORD WINAPI t(LPVOID p){<br /> info *p1=(info*)p;<br /> msgbox m=(msgbox)p1->address;<br /> m(0,p1->a,p1->a,0);<br /> //MessageBoxA(0,p1->a,p1->a,0);<br /> while(1);<br /> return 0;<br /> }<br /> main()<br /> {<br /> HANDLE ph=::OpenProcess(PROCESS_ALL_ACCESS,false,1956);<br /> void *s;<br /> s=::VirtualAllocEx(ph,0,1024*4,MEM_COMMIT,PAGE_EXECUTE_READWRITE);<br /> ::WriteProcessMemory(ph,s,t,1024*4,0);<br /> info i;<br /> ZeroMemory(&i,sizeof(i));<br /> ::strcpy(i.a,"a");<br /> HINSTANCE m=::LoadLibrary("user32.dll");<br /> i.address=(DWORD)::GetProcAddress(m,"MessageBoxA");<br /> long m1=(long)(PROC)MessageBoxA;<br /> info *s1;<br /> s1=(info *)::VirtualAllocEx(ph,0,sizeof(info),MEM_COMMIT,PAGE_READWRITE);<br /> ::WriteProcessMemory(ph,s1,&i,sizeof(info),0);<br /> HANDLE hrt=::CreateRemoteThread(ph,0,0,(LPTHREAD_START_ROUTINE)s,s1,0,0);<br /> }</p> <p>

     这个就是无dll的远程线程注入代码，在注入函数里我把messageboxA这个函数注释掉了，因为按我原来的理解，messageboxA在这里被编译成了函数的地址，既然user32。dll在每个进程里函数的映射地址都是一样的，那么应该没问题啊，但是事实是把那个注释去掉后运行就无情的报错了。

      没办法，看下汇编代码吧。

long m1=(long)(PROC)MessageBoxA;
00401170   mov         eax,[__imp__MessageBoxA@16 (004242b4)]
00401175   mov         dword ptr [ebp-20h],eax
      这段汇编的代码是取messageboxA的地址，对应的汇编代码是取004242b4这个地址中的值到eax里，发现问题所在了，在004242b4这个地址上。我们知道，每个模块对应一个pe文件，文件里有IAT这个函数导入表，当我们的程序需要调用某个库里的函数时，系统便去IAT里去这个函数符号的地址，地址中的值便是该函数在内存中映射的真实地址，去掉注释之所以报错是004242b4这个地址在本地线程里，而不是在远程线程里。进程间都是独立的，你拿着本地的地址在远程进程调用当然会报错了。

       好了，疑问解决了，本文有不足之处，还望大家多多指正。