精易论坛

标题: 浅谈：内存_远程调用子程序（） [打印本页]

作者: meng9934 时间: 2021-7-29 11:27
标题: 浅谈：内存_远程调用子程序（）
本帖最后由 meng9934 于 2021-7-29 11:32 编辑

我们先做个弹信息框的程序a.e，为了方便在OD里面下MessageBox断点。

子程序名	返回值类型	公开	备注
_按钮1_被单击

信息框 (“远程调用调试”, 0, “温馨提示”, )

然后OD取到调用地址为401004，图1

开始写内存_远程调用子程序代码：

子程序名	返回值类型	公开	备注
_按钮1_被单击

变量名	类型	静态	数组	备注
id	整数型

id ＝进程_名取ID (“a.exe”)
内存_远程调用子程序 (id, 十六进制到整数 (“401004”), , , 真)

提示错误：“内存申请失败”

找到精易里面报错的位置：

内存地址＝ VirtualAllocEx (进程句柄, 0, 取字节集长度 (字节集内容), #MEM_COMMIT, #PAGE_EXECUTE_READWRITE)
.如果真 (内存地址＝ 0)
输出调试文本 (“内存申请失败”)

发现直接对进程ID操作。
这里我们修改一下。改用OpenProcess 打开进程用取到的句柄操作。看图2。

hProcess ＝ OpenProcess (#PROCESS_ALL_ACCESS, 0, 进程句柄) ' 打开进程

成功调用，图3：

精易模块自行修改。

demo.rar (419.95 KB, 下载次数: 72)

作者: 冰棍好烫啊 时间: 2021-7-29 11:49
如果是有参数或返回值的子程序呢

作者: 揰掵佲 时间: 2021-7-29 12:23

冰棍好烫啊发表于 2021-7-29 11:49
如果是有参数或返回值的子程序呢

mov [xxxx],eax

作者: 红颜脸庞仍娇俏 时间: 2021-7-29 12:33

冰棍好烫啊发表于 2021-7-29 11:49
如果是有参数或返回值的子程序呢

作者: 福仔 时间: 2021-7-29 12:36
@yeweiyang 你是想把进程A的子程序复制到进程B上, 然后进程B执行这个子程序吗
要是你能找到这技术的话, 我出10万收, 不够再加
是可以执行那种有跳转有调用的子程序, 而不是一个简单的加减没跳转没调用的子程序
如果要把进程A 的加减子程序拷贝到进程B 上执行
步骤很简单, 打开进程A, 读取内存, 内存地址就是进程A的加减子程序地址, 读4096个字节, 完全够了
读完之后进程B就已经有进程A的加减函数的数据了, 随便写个call 调用一下你读取到的这些数据就是调用了
就这么简单

作者: knowledge 时间: 2021-7-29 12:38
楼主,你这个GIF怎么制作呢?

作者: yeweiyang 时间: 2021-7-29 12:41

福仔发表于 2021-7-29 12:36
@yeweiyang 你是想把进程A的子程序复制到进程B上, 然后进程B执行这个子程序吗
要是你能找到这技术的话, ...

确实，之前想的太简单了

作者: meng9934 时间: 2021-7-29 13:26

knowledge 发表于 2021-7-29 12:38
楼主,你这个GIF怎么制作呢?

作者: ccfftt 时间: 2021-7-29 16:13
楼主你这个GIF工具可以写个demo吗我比较喜欢你这个

作者: liaoxiaohu 时间: 2021-12-5 13:17
66666666666666

作者: なす随风ぬね 时间: 2023-5-26 12:42
新技能已get√

作者: 王刚123456 时间: 2024-1-24 13:35
学习一下

作者: lrd 时间: 2025-1-16 21:25

如果是有参数或返回值的子程序呢

作者: shijialin99 时间: 2025-3-9 15:09
本帖最后由 shijialin99 于 2025-3-9 16:59 编辑

.版本 2

进程句柄＝打开进程 (进程句柄)
调试输出 (内存_远程调用子程序 (进程句柄, 十六到十 (“2399F14”), 坐标, , ))

谢谢楼主分享问题所在
这就不用修改模块了
我居然遇到了这种情况： 2个参数全部小于255大于0 调用时第二个参数变成了负数改了下源码不使用{106} 全部{104} 就正常了！

作者: 43156060 时间: 2025-4-17 12:11
精易模块自行修改精易模块自行修改

欢迎光临精易论坛 (https://125.confly.eu.org/)