个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我正在使用 CreateRemoteProcess 将一些汇编程序代码注入(inject)远程进程(64 位),然后加载一个 dll,但我在 LoadLibraryA 中得到一个 C0000005 EXCEPTION_ACCESS_VIOLATION 用于加载我的 .dll 文件的调用。
这里是注入(inject)的汇编代码(下面截图中的地址不同,但这些是相对于写入前的远程内存地址计算的):
MOV RCX,2A0DFF0020
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
MOV RCX,RAX
MOV RDX,2A0DFF0030
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0010],RAX
MOV RCX,2A0DFF0040
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
CMP RAX,0
JNZ 2A0DFF024D
XOR CL,CL
MOV RDX,2A0DFF00C0
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0000],RAX
MOV RCX,RAX
MOV RDX,2A0DFF00A0
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
CMP RAX,0
JNZ 2A0DFF02A7
XOR CL,CL
MOV RDX,2A0DFF0140
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV RCX,2A0DFF0000
XOR DL,DL
MOV RAX,<kernel32.FreeLibraryAndExitThread>
CALL RAX
Here是 CALL 崩溃之前的寄存器和内存的屏幕截图(以及突出显示的汇编代码!)和 here是实际崩溃的截图
我现在正尝试注入(inject)的完整 Dll(只是一个测试):
#include <windows.h>
__declspec(dllexport) void init(void)
{
return;
}
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
return TRUE;
}
我使用以下命令用最新的 tcc 64 位编译了 dll:
tcc -o "test.dll"-shared testdll.c
这是注入(inject)代码,我去掉了所有的错误处理:
//AlignedStream is a stream wrapper that supports aligning memory,
//in this case to 16 Byte borders
data = new AlignedStream(new MemoryStream());
//adding the strings to the stream (using Encoding.ASCII.GetBytes)
System.Diagnostics.Process.EnterDebugMode();
var process = Interop.OpenProcess
(
Interop.ProcessAccessFlags.CreateThread |
Interop.ProcessAccessFlags.VirtualMemoryOperation |
Interop.ProcessAccessFlags.VirtualMemoryWrite |
Interop.ProcessAccessFlags.QueryInformation |
Interop.ProcessAccessFlags.QueryLimitedInformation,
false,
processId
);
var asmsize = GetAsmSize();
var RemoteMemory = Interop.VirtualAllocEx(
process,
IntPtr.Zero,
new UIntPtr((ulong)asmsize + (ulong)data.Length),
Interop.AllocationType.Commit | Interop.AllocationType.Reserve,
Interop.MemoryProtection.ExecuteReadWrite
);
//Adding the assembler to the stream (as raw bytes in code)
var bytes = data.ToArray();
var oldProtect = Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
Interop.MemoryProtection.ExecuteReadWrite
);
var written = Interop.WriteProcessMemory
(
process,
RemoteMemory,
bytes,
new UIntPtr((ulong)bytes.LongLength)
);
Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
oldProtect
);
Interop.FlushInstructionCache
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength)
);
var thread = Interop.CreateRemoteThread
(
process,
IntPtr.Zero,
UIntPtr.Zero,
IntPtr.Add(RemoteMemory, asmOffset),
IntPtr.Zero,
Interop.ThreadCreation.Default
);
var result = Interop.WaitForSingleObject(thread, Interop.INFINITE);
Interop.VirtualFreeEx
(
process,
RemoteMemory,
UIntPtr.Zero,
Interop.FreeType.Release
);
System.Diagnostics.Process.LeaveDebugMode();
Interop.CloseHandle(process);
我确保 .dll、目标进程和注入(inject)器都是 64 位的,并且注入(inject)器以管理员权限运行。当使用仅调用 LoadLibrary 的测试项目加载 dll 时,dll 加载正常。
我试图解决的问题:
我尝试改用 LoadLibraryW,但它在同一点崩溃(从我在调试器中看到的情况来看,LoadLibraryA 实际上在某个时刻调用了 LoadLibraryExW,就像 LoadLibraryW 一样)。
我之前发现的所有类似问题都归结为数据未写入目标进程,但正如您在屏幕截图中看到的那样,它肯定存在。
我尝试使用不同的进程,看看它是否特定于记事本,因为它在系统目录中,但没有成功。
我尝试使用用 vc++ 构建的 dll
我完全没有想法。也许这是我无法找到的汇编代码中的一个简单错误(对汇编程序非常缺乏经验)。为什么会发生这种崩溃,可以采取哪些措施来防止这种崩溃?
最佳答案
您没有遵循标准调用约定。特别是但不限于,您没有对齐堆栈,因此对齐的 SSE 移动指令 MOVAPS 在 LoadLibrary 函数内出错。要解决眼前的问题,您可以在代码开头执行 AND RSP, -16。您还可以添加标准函数序言 (PUSH RBP; MOV RBP, RSP) 和结尾 (MOV RSP, RBP; POP RBP; RET)。
然而,您应该注意遵循 calling convention 的所有特性。 (例如为参数分配溢出空间)以创建适当的代码,而不仅仅是恰好有效的代码。
关于c# - LoadLibrary 内部的访问冲突,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30292779/
25
4
0
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 4 年前。 Improv
PowerShell Web Access 允许您通过 Web 浏览器运行 PowerShell cmdlet。它显示了一个基于 Web 的控制台窗口。 有没有办法运行 cmdlet 而无需在控制台窗
我尝试在无需用户登录的情况下访问 Sharepoint 文件。 我可以通过以下任一方式获取访问 token 方法一: var client = new RestClient("https://logi
我目前正在尝试通过 Chrome 扩展程序访问 Google 服务。我的理解是,对于 JS 应用程序,Google 首选的身份验证机制是 OAuth。我的应用目前已成功通过 OAuth 向服务进行身份
假设我有纯抽象类 IHandler 和派生自它的类: class IHandler { public: virtual int process_input(char input) = 0; };
我有一个带有 ThymeLeaf 和 Dojo 的 Spring 应用程序,这给我带来了问题。当我从我的 HTML 文件中引用 CSS 文件时,它们在 Firebug 中显示为中止。但是,当我通过在地
这个问题已经有答案了: JavaScript property access: dot notation vs. brackets? (17 个回答) 已关闭 6 年前。 为什么这不起作用? func
我想将所有流量重定向到 https,只有 robot.txt 应该可以通过 http 访问。 是否可以为 robot.txt 文件创建异常(exception)? 我的 .htaccess 文件: R
我遇到了 LinkedIn OAuth2: "Unable to verify access token" 中描述的相同问题;但是,那里描述的解决方案并不能解决我的问题。 我能够成功请求访问 toke
问题 我有一个暴露给 *:8080 的 Docker 服务容器. 我无法通过 localhost:8080 访问容器. Chrome /curl无限期挂断。 但是如果我使用任何其他本地IP,我就可以访
我正在使用 Google 的 Oauth 2.0 来获取用户的 access_token,但我不知道如何将它与 imaplib 一起使用来访问收件箱。 最佳答案 下面是带有 oauth 2.0 的 I
我正在做 docker 入门指南:https://docs.docker.com/get-started/part3/#recap-and-cheat-sheet-optional docker-co
我正在尝试使用静态 IP 在 AKS 上创建一个 Web 应用程序,自然找到了一个带有 Nginx ingress controller in Azure's documentation 的解决方案。
这是我在名为 foo.js 的文件中的代码。 console.log('module.exports:', module.exports) console.log('module.id:', modu
我试图理解访问键。我读过https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-se
我正在使用 MGTwitterEngine"将 twitter 集成到我的应用程序中。它在 iOS 4.2 上运行良好。当我尝试从任何 iOS 5 设备访问 twitter 时,我遇到了身份验证 to
我试图理解访问键。我读过https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-se
我正在使用以下 API 列出我的 Facebook 好友。 https://graph.facebook.com/me/friends?access_token= ??? 我想知道访问 token 过
401 Unauthorized - Show headers - { "error": { "errors": [ { "domain": "global", "reas
我已经将我的 django 应用程序部署到 heroku 并使用 Amazon s3 存储桶存储静态文件,我发现从 s3 存储桶到 heroku 获取数据没有问题。但是,当我测试查看内容存储位置时,除
我是一名优秀的程序员,十分优秀!