2. 程式人生 > >Wow64(32位進程)註入DLL到64位進程

Wow64(32位進程)註入DLL到64位進程

阿新 發佈:2018-06-05
cast UNC null 數通 pan thread 簡單的 ear wow64

轉載自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/

向其他進程註入DLL通常的做法是通過調用CreateRemoteThread這個API在目標進程內創建一個遠程線程,用這個線程來調用LoadLibraryALoadLibraryW(下文統稱LoadLibrary)以實現讓目標進程加載指定的DLL文件。使用CreateRemoteThread創建一個遠程線程需要傳入一個線程過程函數的地址,並且這個函數地址是需要在目標進程中有效的。由於LoadLibrary是kernel32.dll的導出函數,所以對於運行在同一個系統上的同為32位的進程或同為64位的進程可以假定彼此進程內的LoadLibrary函數的地址是相同的。並且CreateRemoteThread的線程過程函數和LoadLibrary的參數個數相同,且參數都是指針,因此通常都是直接將LoadLibrary作為CreateRemoteThread的過程函數。然後使用VirtualAllocEx

在目標進程中分配內存,使用WriteProcessMemory往這塊內存中寫入DLL文件路徑,將這塊內存的地址作為線程過程函數(LoadLibrary)的參數。

在64位的Windows操作系統上32位進程中的LoadLibrary函數地址與64位進程的函數地址不同,因此如果想對64位進程註入DLL,簡單的做法就是使用64位進程來執行註入工作。但是如果能讓32位進程註入DLL到64位進程顯然更好。

在一番Google之後找到了這篇文章。這篇文章的作者研究出來一種在Wow64進程中執行x64代碼的方法,並且將其封裝成了這個庫。
本文就是介紹如何使用這個庫實現Wow64環境下32位進程向64位進程註入DLL。

Wow64環境下32位進程註入64位進程

32位進程難以註入DLL進64位進程是由於兩個進程內LoadLibrary的地址不同,32位進程無法知道64位進程的LoadLibrary函數地址。使用wow64ext這個庫在Wow64環境下可以讓32位進程獲取到64位的ntdll.dll的導出函數(得到的地址與64進程的地址是一樣的)。

本文使用ntdll中的這3個未文檔的函數來註入DLL。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
NTSTATUS
NTAPI
RtlCreateUserThread(
    _In_ HANDLE processHandle,
    _In_ SECURITY_DESCRIPTOR* securityDescriptor,
    _In_ BOOLEAN createSuspended,
    _In_ ULONG stackZeroBits,
    _Inout_opt_ size_t* stackReserved,
    _Inout_opt_ size_t* stackCommit,
    _In_ const void* startAddress,
    _In_ void* startParameter,
    _Inout_ HANDLE* threadHandle,
    _Inout_opt_ CLIENT_ID* clientID
    );

NTSTATUS
NTAPI
LdrLoadDll(
    _In_opt_ PWSTR SearchPath,
    _In_opt_ PULONG LoadFlags,
    _In_ PUNICODE_STRING Name,
    _Out_opt_ PVOID *BaseAddress
    );

VOID
NTAPI
RtlExitUserThread(
    _In_ NTSTATUS Status
    );

使用RtlCreateUserThread創建遠程線程,在遠程線程中調用LdrLoadDll加載要註入的DLL文件,最後在遠程線程中調用RtlExitUserThread退出線程。

為了在遠程線程中調用兩個函數(LdrLoadDll、RtlExitUserThread),需要將要執行的x64代碼寫入目標進程,然後讓遠程線程執行這段代碼,在這之前需要了解一些預備知識。可以看MSDN中的這篇文章。通過這個篇文章我們知道了。

  • 在調用約定上Windows在x64進行了統一,也就是說不管你有沒有顯式指定調用約定,指定了何種調用約定,最終編譯後都使用__fastcall這一種調用約定。
  • 在參數傳遞上對於Integer類型(含指針)前4個參數通過RCXRDXR8R9寄存器傳遞,其他參數通過棧傳遞。

LdrLoadDll有4個參數都是指針,RtlExitUserThread只有1個參數是Integer類型。為這兩個函數傳遞參數只通過寄存器就足夠了。
當然我們不需要自己去寫匯編代碼再將匯編代碼轉成機器碼,首先先寫下面這樣一段代碼。

1
2
3
4
5
6
7
8
9
10
 
typedef unsigned long long DWORD64;

typedef DWORD64 (*Func4_Type)(DWORD64, DWORD64, DWORD64, DWORD64);
typedef DWORD64 (*Func1_Type)(DWORD64);

void ThreadProc(void*)
{
    ((Func4_Type)(0x1234567890123456))(0x1111111111111111, 0x2222222222222222, 0x3333333333333333, 0x4444444444444444);
    ((Func1_Type)(0x6543210987654321))(0x5555555555555555);
}

然後使用VC編譯器將其編譯成x64的代碼,再反匯編它。

技術分享圖片VS2013 Debug 反匯編的結果

跟據內存地址,容易得到下面的機器碼與匯編代碼的對應關系。

1
 
0x48 0x89 0x4c 0x24 0x08                           mov       qword ptr [rsp+8],rcx
0x57                                               push      rdi
0x48 0x83 0xec 0x20                                sub       rsp,20h
0x48 0x8b 0xfc                                     mov       rdi,rsp
0xb9 0x08 0x00 0x00 0x00                           mov       ecx,8
0xb8 0xcc 0xcc 0xcc 0xcc                           mov       eac,0CCCCCCCCh
0xf3 0xab                                          rep stos  dword ptr [rdi]
0x48 0x8b 0x4c 0x24 0x30                           mov       rcx,qword ptr [__formal]
0x49 0xb9 0x44 0x44 0x44 0x44 0x44 0x44 0x44 0x44  mov       r9,4444444444444444h
0x49 0xb8 0x33 0x33 0x33 0x33 0x33 0x33 0x33 0x33  mov       r8,3333333333333333h
0x48 0xba 0x22 0x22 0x22 0x22 0x22 0x22 0x22 0x22  mov       rdx,2222222222222222h
0x48 0xb9 0x11 0x11 0x11 0x11 0x11 0x11 0x11 0x11  mov       rcx,1111111111111111h
0x48 0xb8 0x56 0x34 0x12 0x90 0x78 0x56 0x34 0x12  mov       rax,1234567890123456h
0xff 0xd0                                          call      rax
0x48 0xb9 0x55 0x55 0x55 0x55 0x55 0x55 0x55 0x55  mov       rcx,5555555555555555h
0x48 0xb8 0x21 0x43 0x65 0x87 0x09 0x21 0x43 0x65  mov       rax,6543210987654321h
0xff 0xd0                                          call      rax

只要在運行的時候根據獲取到的函數地址和參數地址替換對應機器碼然後將機器碼寫入目標進程,創建線程執行這段代碼就能夠實現Wow64進程註入DLL到64位進程了。
完整的實現代碼如下(VS2012編譯通過,Windows 8 x64測試註入成功)。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
 
#include <memory>
#include <string>
#include <Windows.h>

#include "wow64ext.h"

enum class InjectResult {
    OK,
    Error_OpenProcess,
    Error_VirtualAllocEx,
    Error_GetProcAddress,
    Error_WriteProcessMemory,
    Error_CreateRemoteThread
};

template<typename Res, typename Deleter>
class ScopeResource {
    Res res;
    Deleter deleter;
    ScopeResource(const ScopeResource&) {}
public:
    Res get() const {
        return this->res;
    }
    ScopeResource(Res res, Deleter deleter) : res(res), deleter(deleter) {}
    ~ScopeResource() {
        this->deleter(this->res);
    }
};

InjectResult Wow64InjectWin64(DWORD dwProcessId, const std::wstring& filename)
{
    DWORD dwDesiredAccess = PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_WRITE | PROCESS_VM_READ;
    auto closeProcessHandle = [](HANDLE hProcess) {
        if(hProcess != NULL) CloseHandle(hProcess);
    };
    ScopeResource<HANDLE, decltype(closeProcessHandle)> targetProcessHandle(OpenProcess(dwDesiredAccess, FALSE, dwProcessId), closeProcessHandle);
    if(targetProcessHandle.get() == NULL) {
        return InjectResult::Error_OpenProcess;
    }
    unsigned char injectCode[] = {
        0x48, 0x89, 0x4c, 0x24, 0x08,                               // mov       qword ptr [rsp+8],rcx
        0x57,                                                       // push      rdi
        0x48, 0x83, 0xec, 0x20,                                     // sub       rsp,20h
        0x48, 0x8b, 0xfc,                                           // mov       rdi,rsp
        0xb9, 0x08, 0x00, 0x00, 0x00,                               // mov       ecx,8
        0xb8, 0xcc, 0xcc, 0xcc, 0xcc,                               // mov       eac,0CCCCCCCCh
        0xf3, 0xab,                                                 // rep stos  dword ptr [rdi]
        0x48, 0x8b, 0x4c, 0x24, 0x30,                               // mov       rcx,qword ptr [__formal]
        0x49, 0xb9, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       r9,0
        0x49, 0xb8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       r8,0
        0x48, 0xba, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rdx,0
        0x48, 0xb9, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rcx,0
        0x48, 0xb8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rax,0
        0xff, 0xd0,                                                 // call      rax
        0x48, 0xb9, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rcx,0
        0x48, 0xb8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rax,0
        0xff, 0xd0                                                  // call      rax
    };

    size_t parametersMemSize = sizeof(DWORD64) + sizeof(_UNICODE_STRING_T<DWORD64>) + (filename.size() + 1) * sizeof(wchar_t);
    auto freeInjectCodeMem = [&targetProcessHandle, &injectCode](DWORD64 address) {
        if(address != 0) VirtualFreeEx64(targetProcessHandle.get(), address, sizeof(injectCode), MEM_COMMIT | MEM_RESERVE);
    };
    ScopeResource<DWORD64, decltype(freeInjectCodeMem)> injectCodeMem(VirtualAllocEx64(targetProcessHandle.get(), NULL, sizeof(injectCode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE), freeInjectCodeMem);
    auto freeParametersMem = [&targetProcessHandle, parametersMemSize](DWORD64 address) {
        if(address != 0) VirtualFreeEx64(targetProcessHandle.get(), address, parametersMemSize, MEM_COMMIT | MEM_RESERVE);
    };
    ScopeResource<DWORD64, decltype(freeParametersMem)> parametersMem(VirtualAllocEx64(targetProcessHandle.get(), NULL, parametersMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE), freeParametersMem);
    if (injectCodeMem.get() == 0 || parametersMem.get() == 0) {
        return InjectResult::Error_VirtualAllocEx;
    }
    DWORD64 ntdll64 = GetModuleHandle64(L"ntdll.dll");
    DWORD64 ntdll_LdrLoadDll = GetProcAddress64(ntdll64, "LdrLoadDll");
    DWORD64 ntdll_RtlExitUserThread = GetProcAddress64(ntdll64, "RtlExitUserThread");
    DWORD64 ntdll_RtlCreateUserThread = GetProcAddress64(ntdll64, "RtlCreateUserThread");
    if(ntdll_LdrLoadDll == 0 || ntdll_RtlExitUserThread == 0 || ntdll_RtlCreateUserThread == 0) {
        return InjectResult::Error_GetProcAddress;
    }
    std::unique_ptr<unsigned char[]> parameters(new unsigned char[parametersMemSize]);
    std::memset(parameters.get(), 0, parametersMemSize);
    _UNICODE_STRING_T<DWORD64>* upath = reinterpret_cast<_UNICODE_STRING_T<DWORD64>*>(parameters.get() + sizeof(DWORD64));
    upath->Length = filename.size() * sizeof(wchar_t);
    upath->MaximumLength = (filename.size() + 1) * sizeof(wchar_t);
    wchar_t* path = reinterpret_cast<wchar_t*>(parameters.get() + sizeof(DWORD64) + sizeof(_UNICODE_STRING_T<DWORD64>));
    std::copy(filename.begin(), filename.end(), path);
    upath->Buffer = parametersMem.get() + sizeof(DWORD64) + sizeof(_UNICODE_STRING_T<DWORD64>);

    union {
        DWORD64 from;
        unsigned char to[8];
    } cvt;

    // r9
    cvt.from = parametersMem.get();
    std::memcpy(injectCode + 32, cvt.to, sizeof(cvt.to));

    // r8
    cvt.from = parametersMem.get() + sizeof(DWORD64);
    std::memcpy(injectCode + 42, cvt.to, sizeof(cvt.to));

    // rax = LdrLoadDll
    cvt.from = ntdll_LdrLoadDll;
    std::memcpy(injectCode + 72, cvt.to, sizeof(cvt.to));

    // rax = RtlExitUserThread
    cvt.from = ntdll_RtlExitUserThread;
    std::memcpy(injectCode + 94, cvt.to, sizeof(cvt.to));

    if(FALSE == WriteProcessMemory64(targetProcessHandle.get(), injectCodeMem.get(), injectCode, sizeof(injectCode), NULL)
        || FALSE == WriteProcessMemory64(targetProcessHandle.get(), parametersMem.get(), parameters.get(), parametersMemSize, NULL)) {
        return InjectResult::Error_WriteProcessMemory;
    }

    DWORD64 hRemoteThread = 0;
    struct {
      DWORD64 UniqueProcess;
      DWORD64 UniqueThread;
    } client_id;

    X64Call(ntdll_RtlCreateUserThread, 10,
        (DWORD64)targetProcessHandle.get(), // ProcessHandle
        (DWORD64)NULL,                      // SecurityDescriptor
        (DWORD64)FALSE,                     // CreateSuspended
        (DWORD64)0,                         // StackZeroBits
        (DWORD64)NULL,                      // StackReserved
        (DWORD64)NULL,                      // StackCommit
        injectCodeMem.get(),                // StartAddress
        (DWORD64)NULL,                      // StartParameter
        (DWORD64)&hRemoteThread,            // ThreadHandle
        (DWORD64)&client_id);               // ClientID
    if(hRemoteThread != 0) {
        CloseHandle((HANDLE)hRemoteThread);
        return InjectResult::OK;
    }
    return InjectResult::Error_CreateRemoteThread;
}

這段代碼在創建遠程線程成功即認為註入成功,為了更加準確的判斷是否註入成功可以在註入的機器碼增加額外的代碼來判斷是否註入成功。

Wow64(32位進程)註入DLL到64位進程

相關推薦

Wow6432DLL到64

cast UNC null 數通 pan thread 簡單的 ear wow64 轉載自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他進程註入DLL通常的做法是通過調用Cr

Wow6432程序注入DLL到64程序

http://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/#Wow64環境下32位程序注入64位程序 DLL注入 向其他程序注入DLL通常的做法是通過呼叫CreateRemoteThread這個A

Spring 新手教程 和自己主動裝配

文件 auto 進行 上下文 xxx -s 重要 mls 上下 Spring註入是指在啟動Spring容器載入bean配置的時候。對類變量的賦值。 兩種經常使用註入方式:設值註入和構造註入 以下就這部分知識看代碼以及代碼中的註解: 1、首先看S

求解多邊形面積2S= Σ【Xi Yi+1-Yi-1】,i屬於1~n,公式解析及編實現

poi logs 驗證 地圖 class view hide 對比 turn yogurt今天要個大家分享一個基礎的二維空間多邊形面積求算方法,主要也是為了下一篇《橢球體上某區域面積的求算,及Albers投影與墨卡托投影後該區域面積對比》打一個基礎。關於投影的相關過

使用無鎖隊列環形緩沖區意事項

size sign until read 定義 log 消費 ucc student 環形緩沖區是生產者和消費者模型中常用的數據結構。生產者將數據放入數組的尾端,而消費者從數組的另一端移走數據,當達到數組的尾部時,生產者繞回到數組的頭部。如果只有一個生產者和一個消費者,那麽

TCP應用之TCP-MSSKind: Maximu segment size可選欄的實際應用之觸發TCP分片代替IP分片

前面講解過了TCP報文頭的各個欄位的含義,有興趣的童鞋可以檢視之前的部落格文件: 今天說一下TCP可選欄位中TCP-MSS(Kind: Maximu segment size)欄位的作用以及小編實際應用的場景: 當OPT的kind標記為2代表此OPT欄位是設定

mysql自動新增系統時間timestamp型別欄的CURRENT_TIMESTAMP與ON UPDATE CURRENT_TIMESTAMP屬性

timestamp有兩個屬性,分別是CURRENT_TIMESTAMP 和ON UPDATE CURRENT_TIMESTAMP兩種,使用情況分別如下: 1.CURRENT_TIMESTAMP  當要向資料庫執行insert操作時,如果有個timestamp欄位屬性設為 

關於java程式碼中對類進行重定義的探究即匿名內部類。包含欄定義,方法重寫,追加方法

寫這篇部落格的時候是在看java8實戰,其中發現了一段程式碼,感覺很奇怪,之前雖然接觸過方法的動態重寫,但是沒見過此種程式碼 大致長這樣: 問題的關鍵不在於這是一個lambda表示式,而是後面大括號內直接追加程式碼,最後實現的效果跟你新建一個HashMap,然後在呼叫兩次

符,SQL

switch rac () ems 控制臺 程序 bsp ras ansi 這兩天在上課時被同學拿了一段代碼問我,這段代碼有什麽問題,我看了一會說:Connection和PreparedStatement都沒關。他說不止這方面的問題,還有sql註入的問題,我就堅決的說使用了

常見手法第四講,SetWindowsHookEx全局鉤子.以及QQ32實戰.

函數調用 還需要 xxx span ray 地址 geb 64位 llb               常見註入手法第四講,SetWindowsHookEx全局鉤子註入.以及註入QQ32位實戰. PS:上面是操作.最後是原理 一丶需要了解的API   使用全局鉤子註入.我們需

怎麽修復網站漏洞之metinfo遠SQL漏洞修補

導致 腳本 mark 技術分享 -o 詳情 報告 過濾 新版本 2018年11月23日SINE網站安全檢測平臺,檢測到MetInfo最新版本爆出高危漏洞,危害性較大,影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,該網站漏洞產生的主要原因是Met

實現: 兩個int32整數m和n的二制表達中, 有多少個位(bit)不同?

define ngs %d crt 不同 pau main num amp #define _CRT_SECURE_NO_WARNINGS 1#include<stdio.h>#include<stdlib.h>int main(){int num1

安全之路 —— 利用遠的方法使用DLL實現穿墻與隱藏

pat 完整路徑 ystemd return cpi printf output inf server 簡介 大多數後門或病毒要想初步實現隱藏進程,即不被像任務管理器這樣典型的RING3級進程管理器找到過於明顯的不明進程,其中比較著名的方法就是通過遠程線程註

擼代碼--linux通信基於共享內存

-- log pac 字符指針 clas fcn eno csdn printf 1.實現親緣關系進程的通信,父寫子讀 思路分析:1)首先我們須要創建一個共享內存。 2)父子進程的創建要用到fork函數。fork函數創建後,兩

小米面經-技術崗小白如何

在哪裏 相交 it公司 小白 來源 代碼行數 多邊形 通知 計算 先介紹下背景,我本科專業是硬件轉軟件方面,所以一開始算法基礎比較差,沒有做過系統設計,為了能得到好的面試機會,我一直都有努力準備,還在網上關註了各種能提高編程能力的攻略,我覺得打好基礎的前提是要找到優質的學習

網絡編中的常見陷阱之 0x十六制數C++字面值常量

十六進制 aid word 網絡編程 情況 技術分享 fill 截斷 常見 十六進制數相等的推斷 請問例如以下程序的輸出是神馬? #include <iostream> #include <string> using namespace std

Python自動化開發課堂筆記【Day08】 - Python面向對象的高級用法,網絡編

sta 自然 log 報錯 面向 read urn total 析構函數 面向對象的高級用法 1. __str__ 只要執行打印對象的操作,就會觸發該對象類中的__str__方法(也就是對象的綁定方法)它是一種默認的方法,默認的打印輸出為<__main__.Foo o

ADO.NET 占防SQL 攻擊

microsoft 維護 text conn 提前 輸入密碼 sql 密碼 ati 當在添加程序中註入攻擊時在控制臺應用程序中可以這樣寫: 請輸入編號:U006 請輸入用戶名:無敵 請輸入密碼:1234 請輸入昵稱:呵呵 請輸入性別:True 請輸入生日:2000-1-1

MD5加密32,大寫/小寫

bytes for oar ins 保密 num 多說 trace 哈希 不多說其他的,MD5加密用於一些數據的保密,列入:密碼等;在這所用的是MD5加密成32位。 32位:(第一種) public class MD5 { // 全局數組//大寫// priva

linux雲自動化運維基礎知識7

linux####1.進程定義####進程就是cpu未完成的工作####2.ps命令####ps a ##關於當前環境的所有進程 x| -A ##所有進程 f ##顯示進程從屬關系 e ##顯示進程調用環境工具的詳細信息 l ##長列表顯示進程的詳細