c - 将x86代码从x64进程注入(inject)到x86进程中

Question

我意识到标题有些复杂，所以让我解释一下我要做什么：

我刚刚完成了一个简单的DLL注入器的编写，以证明我要编写的概念证明。该程序对当前进程进行快照，枚举进程树，并将DLL注入其直接父进程。现在，在理想条件下，它可以正常工作：32位版本的注入器可以注入到32位父进程中，而64位版本的注入器可以注入到64位父进程中。

不过，我现在要做的是将x64注入器中的32位DLL注入到32位父进程中。注入该DLL之后，我希望随后对由注入的DLL导出的函数之一进行调用。不过，我不确定是否确实可行。 （我已经整理了一些代码来确定父进程是32位进程还是64位进程，因此这不会成为问题）

现在，我已经找到了一些似乎由injecting precompiled machine code into the process完成的第一部分代码。 （至少，我认为这就是它的作用。）通常，在将调用注入LoadLibraryW之后，我将获得该调用返回的地址，将相对偏移量添加到我要调用的导出函数中，并对其进行注入功能。不过，在这种情况下，我无法将32位库加载到我的64位注入器中，因此无法像平常一样使用GetProcAddress查找函数的相对偏移量。通过执行以下操作，我克服了这个问题：

由于无法使用常规方法找到32位DLL的函数偏移量，因此我目前正在将文件读入缓冲区，使用该缓冲区填充IMAGE_NT_HEADERS32结构，并枚举IMAGE_EXPORT_DIRECTORY以查找名称和所有导出函数的相对偏移量。

因此，在这一点上，我有以下几点：


将32位DLL加载到32位进程中
在32位进程中运行以下代码时，该值等于funcAddr：


码：

HMODULE hInjectedDLL = LoadLibrary("mydll.dll");
DWORD funcAddr = (DWORD)GetProcAddress(hInjectedDLL, "ExportedFunc") - (DWORD)hInjectedDLL;

从理论上讲，我现在需要的只是hInjectedDLL的值，并且我应该能够对该函数进行调用。不幸的是，尽管如此，我对汇编或机器代码的了解还不足以了解如何获得该价值。

有任何想法吗？

（另外，我知道，只需编译两个版本的注射器，然后在父进程的处理器体系结构不匹配时运行另一个版本，就可以省去很多麻烦。我试图避免不过，这条路线。）

编辑：认为这可能有助于解释我在此概念证明中实际要完成的工作。

我正在尝试一种想法，我必须允许在当前控制台中执行子进程，而无需原始进程等待子进程完成。由于在控制台应用程序中没有内置的API可以执行此操作，因此通常会陷入一棵进程树，所有进程都在等待各自的子进程完成。为了促进此功能，我要执行以下操作：

注射

DLL注入器将扮演“执行过程”的角色。 （通常必须等到子进程完成的进程）运行时，它将确定其父进程的平台，以及父进程是否甚至是基于控制台的应用程序。如果不是，则该进程仅使用 exec family of functions运行所需的子进程，然后立即退出。如果父进程是控制台应用程序，则注入器确定要使用的DLL，挂起最初创建注入器进程的线程，然后将DLL注入父进程。

解决我们的职能

一旦DLL到位，注入器将确定DLL导出的函数的地址。 （通常，我可以通过调用 CreateRemoteThread进行初始注入，然后在该线程上使用 GetExitCodeThread来获取父进程中DLL的基地址。这样做之后，使用简单的算法即可找到我们导出函数的地址，然后我可以用它向该函数注入第二个调用。

调用我们的功能

导出的函数将类似于以下内容：

BOOL RewriteHProcess（处理hProcess）

注入器将再次使用CreateRemoteThread从父进程的上下文中调用此函数，其中hProcess是注入器进程的句柄。在DLL方面，该函数将执行以下两项操作之一（鉴于线程间内存访问的安全性限制，我不确定我的第一个想法是否可行，因此，如果首先无法解决问题。）


RewriteHProcess将打开先前挂起的线程以进行读取和写入，并使用 ReadProcessMemory在进程的内存中搜索到我们注入程序的HANDLE。 （我们假设父进程当前正在阻止 WaitForSingleObject函数的进一步执行。我知道命令提示符至少会这样做，这是我目前的重点。）然后DLL调用内部函数来创建所需的子进程，关闭旧的句柄，并使用新的子进程的句柄覆盖内存。此时，它会清理所有内容并返回。然后，注入器将执行其所需的所有剩余清理操作，恢复挂起的线程，关闭进程和线程的句柄，然后退出，从而使父进程在等待新的子进程结束时继续阻塞。
如果无法实现该路由，那么我的后退方法就是暂停注入程序中的阻塞线程，在注入的DLL中创建新的子进程，清理并退出注入器，然后在DLL中等待，直到子进程完成。到那时，DLL将清理，恢复挂起的线程并自行卸载。 （不过，此路线的缺点是，父进程从注入器返回的返回代码可能与目标子进程的返回代码不同）

Answer 1

使用VirtualAllocEx()在目标进程内部分配可执行内存块，然后根据需要使用WriteProcessMemory()将x86或x64机器指令写入该内存块。让这些指令调用LoadLibrary()，GetProcAddress()，这是根据需要导出的DLL函数。然后使用CreateRemoteThread()执行存储块。如果注射器在单独的进程中运行，则无法直接调用导出的DLL函数。必须在目标进程的上下文中加载并调用导出的函数。并且不要从LoadLibrary()的返回值中减去GetProcAddress()的返回值。 GetProcAddress()返回指向该函数的直接内存指针，因此可以直接调用它。

更新：此方法的一种变体是在使用DLL_ATTACH_PROCESS原因调用它时，将所有注入的代码放入DLL的入口点内（或让入口点产生一个线程来运行代码）。因此，无需从DLL导出任何功能。然后，您可以使用VirtualAllocEx()和WriteProcessMemory()将DLL的路径存储到目标进程中，然后使用CreateRemoteThread()直接调用LoadLibrary()。内核函数在各个进程之间始终具有相同的内存地址，因此注入进程可以在其自己的地址空间中调用GetProcAddress()以获取LoadLibrary()的地址，然后将该指针传递给lpStartAddress的CreateRemoteThread()参数。这样，您不必担心编写任何x86 / x64汇编代码。

本文的Section 3中将详细介绍此技术：

Three Ways to Inject Your Code into Another Process