利用WriteProcessMemory修改当前程序的EIP易语言源码程序利用Wow64特性实现,非64位系统无法使用,外部程序无法使用。
效果:
简单利用WriteProcessMemory实现修改程序Eip:
原理:32位程序调用WriteProcessMemory由64位的wow64.dll!Wow64SystemServiceEx负责将程序的32位调用转换到64位的ntdll.dll!NtWriteVirtualMemory。在此之前程序保存了32位的环境,放在了Wow64CurrentCpuArea,然后程序正常调用NtWriteVirtualMemory修改了Wow64CurrentCpuArea保存的Eip,造成在退出64位环境后32位环境切换到了我们预设的地址上,从而实现hiJackRoutine。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系贝贝进行处理。
本站默认解压密码:www.hibbba.com