gpt4 book ai didi

c - 将x86代码从x64进程注入(inject)到x86进程中

转载 作者:行者123 更新时间:2023-12-01 02:30:30 27 4
gpt4 key购买 nike

我意识到标题有些复杂,所以让我解释一下我要做什么:

我刚刚完成了一个简单的DLL注入器的编写,以证明我要编写的概念证明。该程序对当前进程进行快照,枚举进程树,并将DLL注入其直接父进程。现在,在理想条件下,它可以正常工作:32位版本的注入器可以注入到32位父进程中,而64位版本的注入器可以注入到64位父进程中。

不过,我现在要做的是将x64注入器中的32位DLL注入到32位父进程中。注入该DLL之后,我希望随后对由注入的DLL导出的函数之一进行调用。不过,我不确定是否确实可行。 (我已经整理了一些代码来确定父进程是32位进程还是64位进程,因此这不会成为问题)

现在,我已经找到了一些似乎由injecting precompiled machine code into the process完成的第一部分代码。 (至少,我认为这就是它的作用。)通常,在将调用注入LoadLibraryW之后,我将获得该调用返回的地址,将相对偏移量添加到我要调用的导出函数中,并对其进行注入功能。不过,在这种情况下,我无法将32位库加载到我的64位注入器中,因此无法像平常一样使用GetProcAddress查找函数的相对偏移量。通过执行以下操作,我克服了这个问题:

由于无法使用常规方法找到32位DLL的函数偏移量,因此我目前正在将文件读入缓冲区,使用该缓冲区填充IMAGE_NT_HEADERS32结构,并枚举IMAGE_EXPORT_DIRECTORY以查找名称和所有导出函数的相对偏移量。

因此,在这一点上,我有以下几点:


将32位DLL加载到32位进程中
在32位进程中运行以下代码时,该值等于funcAddr:


码:


HMODULE hInjectedDLL = LoadLibrary("mydll.dll");
DWORD funcAddr = (DWORD)GetProcAddress(hInjectedDLL, "ExportedFunc") - (DWORD)hInjectedDLL;


从理论上讲,我现在需要的只是hInjectedDLL的值,并且我应该能够对该函数进行调用。不幸的是,尽管如此,我对汇编或机器代码的了解还不足以了解如何获得该价值。

有任何想法吗?

(另外,我知道,只需编译两个版本的注射器,然后在父进程的处理器体系结构不匹配时运行另一个版本,就可以省去很多麻烦。我试图避免不过,这条路线。)

编辑:认为这可能有助于解释我在此概念证明中实际要完成的工作。

我正在尝试一种想法,我必须允许在当前控制台中执行子进程,而无需原始进程等待子进程完成。由于在控制台应用程序中没有内置的API可以执行此操作,因此通常会陷入一棵进程树,所有进程都在等待各自的子进程完成。为了促进此功能,我要执行以下操作:

注射

DLL注入器将扮演“执行过程”的角色。 (通常必须等到子进程完成的进程)运行时,它将确定其父进程的平台,以及父进程是否甚至是基于控制台的应用程序。如果不是,则该进程仅使用 exec family of functions运行所需的子进程,然后立即退出。如果父进程是控制台应用程序,则注入器确定要使用的DLL,挂起最初创建注入器进程的线程,然后将DLL注入父进程。

解决我们的职能

一旦DLL到位,注入器将确定DLL导出的函数的地址。 (通常,我可以通过调用 CreateRemoteThread进行初始注入,然后在该线程上使用 GetExitCodeThread来获取父进程中DLL的基地址。这样做之后,使用简单的算法即可找到我们导出函数的地址,然后我可以用它向该函数注入第二个调用。

调用我们的功能

导出的函数将类似于以下内容:

BOOL RewriteHProcess(处理hProcess)

注入器将再次使用CreateRemoteThread从父进程的上下文中调用此函数,其中hProcess是注入器进程的句柄。在DLL方面,该函数将执行以下两项操作之一(鉴于线程间内存访问的安全性限制,我不确定我的第一个想法是否可行,因此,如果首先无法解决问题。)


RewriteHProcess将打开先前挂起的线程以进行读取和写入,并使用 ReadProcessMemory在进程的内存中搜索到我们注入程序的HANDLE。 (我们假设父进程当前正在阻止 WaitForSingleObject函数的进一步执行。我知道命令提示符至少会这样做,这是我目前的重点。)然后DLL调用内部函数来创建所需的子进程,关闭旧的句柄,并使用新的子进程的句柄覆盖内存。此时,它会清理所有内容并返回。然后,注入器将执行其所需的所有剩余清理操作,恢复挂起的线程,关闭进程和线程的句柄,然后退出,从而使父进程在等待新的子进程结束时继续阻塞。
如果无法实现该路由,那么我的后退方法就是暂停注入程序中的阻塞线程,在注入的DLL中创建新的子进程,清理并退出注入器,然后在DLL中等待,直到子进程完成。到那时,DLL将清理,恢复挂起的线程并自行卸载。 (不过,此路线的缺点是,父进程从注入器返回的返回代码可能与目标子进程的返回代码不同)

最佳答案

使用VirtualAllocEx()在目标进程内部分配可执行内存块,然后根据需要使用WriteProcessMemory()将x86或x64机器指令写入该内存块。让这些指令调用LoadLibrary()GetProcAddress(),这是根据需要导出的DLL函数。然后使用CreateRemoteThread()执行存储块。如果注射器在单独的进程中运行,则无法直接调用导出的DLL函数。必须在目标进程的上下文中加载并调用导出的函数。并且不要从LoadLibrary()的返回值中减去GetProcAddress()的返回值。 GetProcAddress()返回指向该函数的直接内存指针,因此可以直接调用它。

更新:此方法的一种变体是在使用DLL_ATTACH_PROCESS原因调用它时,将所有注入的代码放入DLL的入口点内(或让入口点产生一个线程来运行代码)。因此,无需从DLL导出任何功能。然后,您可以使用VirtualAllocEx()WriteProcessMemory()将DLL的路径存储到目标进程中,然后使用CreateRemoteThread()直接调用LoadLibrary()。内核函数在各个进程之间始终具有相同的内存地址,因此注入进程可以在其自己的地址空间中调用GetProcAddress()以获取LoadLibrary()的地址,然后将该指针传递给lpStartAddressCreateRemoteThread()参数。这样,您不必担心编写任何x86 / x64汇编代码。

本文的Section 3中将详细介绍此技术:

Three Ways to Inject Your Code into Another Process

关于c - 将x86代码从x64进程注入(inject)到x86进程中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13297452/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com