Инъекции Кода С C#

Question

Инъекции Кода С C#

можете ли вы использовать крючки windows или другие методы для инъекции кода с c#? Я видел много вещей об инъекции кода, но все они сделаны на C/C++. Я не знаю ни одного из этих языков,и мне очень трудно переводить. У кого-нибудь есть идеи, как это сделать?

13

c# code-injection

автор: Greg Sansom

4 ответов

автор: aku · Accepted Answer · 2018-04-01 04:20:56

Кевин, это возможно. Вы можете создать библиотеку с помощью window hook proc, используя управляемый C++. Все, что вам нужно сделать, это ввести этот крючок в какое-то приложение, используя стандартный WinAPI (SetWindowsHookEx и т. д.). Внутри этого крючка вы можете вызвать System::AppDomain:: CurrentDomain->Load метод для загрузки сборки в AppDomain целевого приложения. Затем вы можете вызвать методы, определенные в вашей сборке, используя отражение. Например, Snoop использует этот метод.

автор: Sam Saffron · Accepted Answer · 2008-11-03 21:26:24

Майк ларек есть этот пример, который использует CreateRemoteThread. Он имеет то преимущество, что не требует никакого C++.

автор: Unknown6656 · Accepted Answer · 2016-09-21 20:23:16

EDIT: кажется, я неправильно понял вопрос .... У меня сложилось впечатление, что речь идет о внедрении кода в текущий процесс.

Я вступаю в партию довольно поздно, но я только что использовал именно это несколько недель назад:

делегат содержит частные поля IntPtr _methodPtr и IntPtr _methodPtrAux, которые представляют адрес памяти тела. Установив поле (через отражение) на определенные значения, один может изменить адрес памяти, на который будет указывать EIP.
Используя эту информацию, можно сделать следующее:

создайте массив с байтами сборки, которые должны быть выполнены
переместите указатель метода делегата на соответствующие байты
вызов делегата
прибыль ???

(конечно, вы можете изменить _methodPtr-значение любого адреса памяти-даже в пространстве ядра, но это может потребовать соответствующих привилегий выполнения).

У меня есть пример рабочего кода, если вы хотите:

public static unsafe int? InjectAndRunX86ASM(this Func<int> del, byte[] asm)
{
    if (del != null)
        fixed (byte* ptr = &asm[0])
        {
            FieldInfo _methodPtr = typeof(Delegate).GetField("_methodPtr", BindingFlags.NonPublic | BindingFlags.Instance);
            FieldInfo _methodPtrAux = typeof(Delegate).GetField("_methodPtrAux", BindingFlags.NonPublic | BindingFlags.Instance);

            _methodPtr.SetValue(del, ptr);
            _methodPtrAux.SetValue(del, ptr);

            return del();
        }
    else
        return null;
}

который можно использовать следующим образом:

Func<int> del = () => 0;
byte[] asm_bytes = new byte[] { 0xb8, 0x15, 0x03, 0x00, 0x00, 0xbb, 0x42, 0x00, 0x00, 0x00, 0x03, 0xc3 };
// mov eax, 315h
// mov ebx, 42h
// add eax, ebx
// ret

int res = del.InjectAndRunX86ASM(asm_bytes); // should be 789 + 66 = 855

конечно, on также может написать следующий метод:

public static unsafe int RunX86ASM(byte[] asm)
{
    Func<int> del = () => 0; // create a delegate variable
    Array.Resize(ref asm, asm.Length + 1);

    // add a return instruction at the end to prevent any memory leaks
    asm[asm.Length - 1] = 0xC3;

    fixed (byte* ptr = &asm[0])
    {
        FieldInfo _methodPtr = typeof(Delegate).GetField("_methodPtr", BindingFlags.NonPublic | BindingFlags.Instance);
        FieldInfo _methodPtrAux = typeof(Delegate).GetField("_methodPtrAux", BindingFlags.NonPublic | BindingFlags.Instance);

        _methodPtr.SetValue(del, ptr);
        _methodPtrAux.SetValue(del, ptr);

        return del();
    }
}

то же самое, вероятно, можно было бы сделать с существующими методами (не делегатами) через отражение:

// UNTESTED //

Action new_method_body = () => { };
MethodInfo nfo = typeof(MyType).GetMethod( ..... );
IntPtr ptr = nfo.MethodHandle.Value; // ptr is a pointer to the method in question

InjectX86ASM(new_method_body, new byte[] { ......., 0xC3 }); // assembly bytes to be injected

int target = new_method_body.Method.MethodHandle.Value.ToInt32();

byte[] redirector = new byte[] {
    0xE8,   // CALL INSTRUCTION + TARGET ADDRESS IN LITTLE ENDIAN
    (byte)(target & 0xff),
    (byte)((target >> 8) & 0xff),
    (byte)((target >> 16) & 0xff),
    (byte)((target >> 24) & 0xff),
    0xC3,   // RETURN INSTRUCTION
};
Marshal.Copy(redirector, 0, ptr, redirector.Length);

используйте любой код на свой страх и риск. примеры кода должны быть скомпилировано с помощью /unsafe-компилятора.

автор: Puneet Ghanshani · Accepted Answer · 2011-12-13 11:44:49

вы можете проверить модема, это актуально тем для инъекций в код .Net-сборок на сайте CodePlex сайте http://codeinject.codeplex.com/. Вы не должны иметь каких-либо знаний об впрыска код для вставки какого-либо кода при использовании модема, это актуально тем.