利用WriteProcessMemory修改当前程序的EIP易语言源码程序利用Wow64特性实现,非64位系统无法使用,外部程序无法使用。
效果:
简单利用WriteProcessMemory实现修改程序Eip:
原理:32位程序调用WriteProcessMemory由64位的wow64.dll!Wow64SystemServiceEx负责将程序的32位调用转换到64位的ntdll.dll!NtWriteVirtualMemory。在此之前程序保存了32位的环境,放在了Wow64CurrentCpuArea,然后程序正常调用NtWriteVirtualMemory修改了Wow64CurrentCpuArea保存的Eip,造成在退出64位环境后32位环境切换到了我们预设的地址上,从而实现hiJackRoutine。

发表回复

后才能评论