个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我正在尝试编写一个程序,该程序可以在读取命令行参数后屏蔽它们。我知道它存储在 PEB 中,所以我尝试使用 the answer to "How to get the Process Environment Block (PEB) address using assembler (x64 OS)?" by Sirmabus获取并在那里修改它。这是一个执行此操作的最小程序:
#include <wchar.h>
#include <windows.h>
#include <winnt.h>
#include <winternl.h>
// Thread Environment Block (TEB)
#if defined(_M_X64) // x64
PTEB tebPtr = reinterpret_cast<PTEB>(__readgsqword(reinterpret_cast<DWORD_PTR>(&static_cast<NT_TIB*>(nullptr)->Self)));
#else // x86
PTEB tebPtr = reinterpret_cast<PTEB>(__readfsdword(reinterpret_cast<DWORD_PTR>(&static_cast<NT_TIB*>(nullptr)->Self)));
#endif
// Process Environment Block (PEB)
PPEB pebPtr = tebPtr->ProcessEnvironmentBlock;
int main() {
UNICODE_STRING *s = &pebPtr->ProcessParameters->CommandLine;
wmemset(s->Buffer, 'x', s->Length / sizeof *s->Buffer);
getwchar();
}
我将其编译为 32 位和 64 位,并在 32 位和 64 位版本的 Windows 上进行了测试。我使用 Process Explorer 查找命令行,还可以使用此 PowerShell 命令通过 WMI 获取它:
Get-WmiObject Win32_Process -Filter "name = 'overwrite.exe'" | Select-Object CommandLine
我发现这在我测试过的每个组合中都有效,除了在 WOW64 进程上使用 WMI 之外。将我的测试结果总结在表格中:
如何修改我的代码以使其在 WMI WOW64 情况下也能工作?
最佳答案
wow64 进程有 2 个 PEB(32 位和 64 位)和 2 个不同的 ProcessEnvironmentBlock(同样是 32 位和 64 位)。两者都存在命令行。一些工具采用正确的命令行(来自 32 位进程的 32 ProcessEnvironmentBlock),一些工具则无条件地采用 64 位 ProcessEnvironmentBlock(在 64 位操作系统上)。所以你想要两个 block 中的命令行为零(全部或第一个字符)。为了在“ native ” block 中执行此操作,我们不需要访问 TEB/PEB/ProcessEnvironmentBlock - GetCommandLineW返回指向 ProcessEnvironmentBlock 中命令行字符串的直接指针。所以接下来的代码就足够了:
PWSTR psz = GetCommandLineW();
while (*psz) *psz++ = 0;
或者简单地
*GetCommandLineW() = 0;
够了
作为旁注,获取 TEB 指针不需要编写自己的宏 - NtCurrentTeb()宏已存在于 winnt.h
从 32 位进程访问 64 位 ProcessEnvironmentBlock 已经不是小事了。 one way评论中建议。另一种更简单的方法,但没有记录 - 调用 NtQueryInformationProcess与ProcessWow64Information
When the ProcessInformationClass parameter is ProcessWow64Information, the buffer pointed to by theProcessInformation parameter should be large enough to hold aULONG_PTR. If this value is nonzero, the process is running in a WOW64environment. Otherwise, the process is not running in a WOW64environment.
所以这个值接收一些指针。但msdn没有说他指的是什么。实际上,这个指针指向 wow64 进程中的 64 PEB 进程。
所以代码可以是下一个:
#ifndef _WIN64
PEB64* peb64;
if (0 <= NtQueryInformationProcess(NtCurrentProcess(),
ProcessWow64Information, &peb64, sizeof(peb64), 0) && peb64)
{
// ...
}
#endif
但是在 32 位进程中声明和使用 64 位结构非常不舒服(需要始终检查指针 < 0x100000000 )
另一种原始方式 - 执行执行任务的小型 64 位 shellcode。
代码大约执行以下操作:
#include <winternl.h>
#include <intrin.h>
void ZeroCmdLine()
{
PUNICODE_STRING CommandLine =
&NtCurrentTeb()->ProcessEnvironmentBlock->ProcessParameters->CommandLine;
if (USHORT Length = CommandLine->Length)
{
//*CommandLine->Buffer = 0;
__stosw((PUSHORT)CommandLine->Buffer, 0, Length / sizeof(WCHAR));
}
}
您需要使用下一个代码创建 asm 文件(如果项目中还没有)
.686
.MODEL FLAT
.code
@ZeroCmdLine@0 proc
push ebp
mov ebp,esp
and esp,not 15
push 33h
call @@1
;++++++++ x64 +++++++++
sub esp,20h
call @@0
add esp,20h
retf
@@0:
DQ 000003025048b4865h
DQ 0408b4860408b4800h
DQ 00de3677048b70f20h
DQ 033e9d178788b4857h
DQ 0ccccc35fab66f3c0h
;-------- x64 ---------
@@1:
call fword ptr [esp]
leave
ret
@ZeroCmdLine@0 endp
end
DQ 中的代码来自此:
mov rax,gs:30h
mov rax,[rax+60h]
mov rax,[rax+20h]
movzx ecx,word ptr [rax+70h]
jecxz @@2
push rdi
mov rdi,[rax+78h]
shr ecx,1
xor eax,eax
rep stosw
pop rdi
@@2:
ret
int3
int3
自定义构建:ml/c/Cp $(InputFileName) -> $(InputName).obj
用c++声明
#ifdef __cplusplus
extern "C"
#endif
void FASTCALL ZeroCmdLine(void);
并调用它。
#ifndef _WIN64
BOOL bWow;
if (IsWow64Process(GetCurrentProcess(), &bWow) && bWow)
{
ZeroCmdLine();
}
#endif
关于c++ - WOW64 程序如何覆盖其命令行参数,如 WMI 所示?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72674069/
29
4
0
猫f1.txt阿曼维沙尔阿杰贾伊维杰拉胡尔曼尼什肖比特批评塔夫林现在输出应该符合上面给定的条件 最佳答案 您可以在文件读取循环中设置一个计数器并打印它, 计数=0 读取行时做 让我们数一数++ if
我正在尝试查找文件 1 和文件 2 中的共同行。如果公共(public)行存在,我想写入文件 2 中的行,否则打印文件 1 中的非公共(public)行。fin1 和 fin2 是这里的文件句柄。它读
我有这个 SQL 脚本: CREATE TABLE `table_1` ( `IDTable_1` int(11) NOT NULL, PRIMARY KEY (`IDTable_1`) );
我有 512 行要插入到数据库中。我想知道提交多个插入内容是否比提交一个大插入内容有任何优势。例如 1x 512 行插入 -- INSERT INTO mydb.mytable (id, phonen
如何从用户中选择user_id,SUB(row, row - 1),其中user_id=@userid我的表用户,id 为 1、3、4、10、11、23...(不是++) --id---------u
我曾尝试四处寻找解决此问题的最佳方法,但我找不到此类问题的任何先前示例。 我正在构建一个基于超本地化的互联网购物中心,该区域分为大约 3000 个区域。每个区域包含大约 300 个项目。它们是相似的项
preg_match('|phpVersion = (.*)\n|',$wampConfFileContents,$result); $phpVersion = str_replace('"','',
我正在尝试创建一个正则表达式,使用“搜索并替换全部”删除 200 个 txt 文件的第一行和最后 10 行 我尝试 (\s*^(\h*\S.*)){10} 删除包含的前 10 行空白,但效果不佳。 最
下面的代码从数据库中获取我需要的信息,但没有打印出所有信息。首先,我知道它从表中获取了所有正确的信息,因为我已经在 sql Developer 中尝试过查询。 public static void m
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
我试图在两个表中插入记录,但出现异常。您能帮我解决这个问题吗? 首先我尝试了下面的代码。 await _testRepository.InsertAsync(test); await _xyzRepo
这个基本的 bootstrap CSS 显示 1 行 4 列: Text Text Text
如果我想从表中检索前 10 行,我将使用以下代码: SELECT * FROM Persons LIMIT 10 我想知道的是如何检索前 10 个结果之后的 10 个结果。 如果我在下面执行这段代码,
今天我开始使用 JexcelApi 并遇到了这个:当您尝试从特定位置获取元素时,不是像您通常期望的那样使用sheet.getCell(row,col),而是使用sheet.getCell(col,ro
我正在尝试在我的网站上开发一个用户个人资料系统,其中包含用户之前发布的 3 个帖子。我可以让它选择前 3 条记录,但它只会显示其中一条。我是不是因为凌晨 2 点就想编码而变得愚蠢? query($q)
我在互联网上寻找答案,但找不到任何答案。 (我可能问错了?)我有一个看起来像这样的表: 我一直在使用查询: SELECT title, date, SUM(money) FROM payments W
我有以下查询,我想从数据库中获取 100 个项目,但 host_id 多次出现在 urls 表中,我想每个 host_id 从该表中最多获取 10 个唯一行。 select * from urls j
我的数据库表中有超过 500 行具有特定日期。 查询特定日期的行。 select * from msgtable where cdate='18/07/2012' 这将返回 500 行。 如何逐行查询
我想使用 sed 从某一行开始打印 n 行、跳过 n 行、打印 n 行等,直到文本文件结束。例如在第 4 行声明,打印 5-9,跳过 10-14,打印 15-19 等 来自文件 1 2 3 4 5 6
我目前正在执行验证过程来检查用户的旧密码,但问题是我无法理解为什么我的查询返回零行,而预期它有 1 行。另一件事是,即使我不将密码文本转换为 md5,哈希密码仍然得到正确的答案,但我不知道为什么会发生
我是一名优秀的程序员,十分优秀!