2. 程式人生 > >相容32位和64位的劫持DLL方案

相容32位和64位的劫持DLL方案

阿新 發佈:2019-01-27

編寫一個劫持DLL並不難,無非就是模擬原DLL匯出其所有的函式,在假的函式內call/jmp到真的函式即可。現在的問題就在於DLL內是用call還是jmp?

如果用call的話,你得需要知道每一個函式的引數以及呼叫方式,這樣程式碼量會比較多,最重要的是微軟有很多未公開的函式,這就更麻煩了。。。這個方案唯一的好處是同時支援x86和x64。

如果用jmp的話,好處就是不用理會原函式的呼叫方式以及引數,相對於使用call的方案這是非常省心的一件事。壞處就是得使用內聯彙編,因為為了讓原引數順利達到真正的函式,中間函式不能有任何多餘的彙編程式碼,所以就需要這樣寫

void __declspec(naked) Foo()
{
	__asm jmp OldFun
}
可是,vc編譯器並不支援64位的內聯彙編(如果支援的話就不會有此文了)。網上搜了一圈,比較簡單的解決方案就是換成Intel的編譯器,因為他家的編譯器支援x64內聯彙編,但這個東西似乎是收費的,而且Windows平臺最好還是用微軟自家的編譯器最好,所以這個方案可以否定了。


另一個方案也就是最終方案,在工程內引入asm檔案(https://www.cnblogs.com/achillis/p/5369658.html),把彙編寫到這裡而不是使用內聯彙編,這樣就能使用jmp的方式劫持並同時支援32位和64位了。提醒一下,x64用ml64.exe,而x86用ml.exe。

比如我劫持的version.dll,x86.asm檔案內容如下

.MODEL flat,stdcall

extern g_pfnGetFileVersionInfoA: DWORD
extern g_pfnGetFileVersionInfoByHandle: DWORD
extern g_pfnGetFileVersionInfoExW: DWORD
extern g_pfnGetFileVersionInfoSizeA: DWORD
extern g_pfnGetFileVersionInfoSizeExW: DWORD
extern g_pfnGetFileVersionInfoSizeW: DWORD
extern g_pfnGetFileVersionInfoW: DWORD
extern g_pfnVerFindFileA: DWORD
extern g_pfnVerFindFileW: DWORD
extern g_pfnVerInstallFileA: DWORD
extern g_pfnVerInstallFileW: DWORD
extern g_pfnVerLanguageNameA: DWORD
extern g_pfnVerLanguageNameW: DWORD
extern g_pfnVerQueryValueA: DWORD
extern g_pfnVerQueryValueW: DWORD

.code

FakeGetFileVersionInfoA proc
  jmp g_pfnGetFileVersionInfoA
FakeGetFileVersionInfoA endp

FakeGetFileVersionInfoByHandle proc
  jmp g_pfnGetFileVersionInfoByHandle
FakeGetFileVersionInfoByHandle endp

FakeGetFileVersionInfoExW proc
  jmp g_pfnGetFileVersionInfoExW
FakeGetFileVersionInfoExW endp

FakeGetFileVersionInfoSizeA proc
  jmp g_pfnGetFileVersionInfoSizeA
FakeGetFileVersionInfoSizeA endp

FakeGetFileVersionInfoSizeExW proc
  jmp g_pfnGetFileVersionInfoSizeExW
FakeGetFileVersionInfoSizeExW endp

FakeGetFileVersionInfoSizeW proc
  jmp g_pfnGetFileVersionInfoSizeW
FakeGetFileVersionInfoSizeW endp

FakeGetFileVersionInfoW proc
  jmp g_pfnGetFileVersionInfoW
FakeGetFileVersionInfoW endp

FakeVerFindFileA proc
  jmp g_pfnVerFindFileA
FakeVerFindFileA endp

FakeVerFindFileW proc
  jmp g_pfnVerFindFileW
FakeVerFindFileW endp

FakeVerInstallFileA proc
  jmp g_pfnVerInstallFileA
FakeVerInstallFileA endp

FakeVerInstallFileW proc
  jmp g_pfnVerInstallFileW
FakeVerInstallFileW endp

FakeVerLanguageNameA proc
  jmp g_pfnVerLanguageNameA
FakeVerLanguageNameA endp

FakeVerLanguageNameW proc
  jmp g_pfnVerLanguageNameW
FakeVerLanguageNameW endp

FakeVerQueryValueA proc
  jmp g_pfnVerQueryValueA
FakeVerQueryValueA endp

FakeVerQueryValueW proc
  jmp g_pfnVerQueryValueW
FakeVerQueryValueW endp

end
x64.asm也基本相同 
extern g_pfnGetFileVersionInfoA: DQ
extern g_pfnGetFileVersionInfoByHandle: DQ
extern g_pfnGetFileVersionInfoExW: DQ
extern g_pfnGetFileVersionInfoSizeA: DQ
extern g_pfnGetFileVersionInfoSizeExW: DQ
extern g_pfnGetFileVersionInfoSizeW: DQ
extern g_pfnGetFileVersionInfoW: DQ
extern g_pfnVerFindFileA: DQ
extern g_pfnVerFindFileW: DQ
extern g_pfnVerInstallFileA: DQ
extern g_pfnVerInstallFileW: DQ
extern g_pfnVerLanguageNameA: DQ
extern g_pfnVerLanguageNameW: DQ
extern g_pfnVerQueryValueA: DQ
extern g_pfnVerQueryValueW: DQ

.code

FakeGetFileVersionInfoA proc
  jmp g_pfnGetFileVersionInfoA
FakeGetFileVersionInfoA endp

FakeGetFileVersionInfoByHandle proc
  jmp g_pfnGetFileVersionInfoByHandle
FakeGetFileVersionInfoByHandle endp

FakeGetFileVersionInfoExW proc
  jmp g_pfnGetFileVersionInfoExW
FakeGetFileVersionInfoExW endp

FakeGetFileVersionInfoSizeA proc
  jmp g_pfnGetFileVersionInfoSizeA
FakeGetFileVersionInfoSizeA endp

FakeGetFileVersionInfoSizeExW proc
  jmp g_pfnGetFileVersionInfoSizeExW
FakeGetFileVersionInfoSizeExW endp

FakeGetFileVersionInfoSizeW proc
  jmp g_pfnGetFileVersionInfoSizeW
FakeGetFileVersionInfoSizeW endp

FakeGetFileVersionInfoW proc
  jmp g_pfnGetFileVersionInfoW
FakeGetFileVersionInfoW endp

FakeVerFindFileA proc
  jmp g_pfnVerFindFileA
FakeVerFindFileA endp

FakeVerFindFileW proc
  jmp g_pfnVerFindFileW
FakeVerFindFileW endp

FakeVerInstallFileA proc
  jmp g_pfnVerInstallFileA
FakeVerInstallFileA endp

FakeVerInstallFileW proc
  jmp g_pfnVerInstallFileW
FakeVerInstallFileW endp

FakeVerLanguageNameA proc
  jmp g_pfnVerLanguageNameA
FakeVerLanguageNameA endp

FakeVerLanguageNameW proc
  jmp g_pfnVerLanguageNameW
FakeVerLanguageNameW endp

FakeVerQueryValueA proc
  jmp g_pfnVerQueryValueA
FakeVerQueryValueA endp

FakeVerQueryValueW proc
  jmp g_pfnVerQueryValueW
FakeVerQueryValueW endp

end
彙編程式碼中引用了全域性變數,也就是真實函式地址,在c++檔案中宣告 
#pragma once

#include <Windows.h>

EXTERN_C FARPROC g_pfnGetFileVersionInfoA;
EXTERN_C FARPROC g_pfnGetFileVersionInfoByHandle;
EXTERN_C FARPROC g_pfnGetFileVersionInfoExW;
EXTERN_C FARPROC g_pfnGetFileVersionInfoSizeA;
EXTERN_C FARPROC g_pfnGetFileVersionInfoSizeExW;
EXTERN_C FARPROC g_pfnGetFileVersionInfoSizeW;
EXTERN_C FARPROC g_pfnGetFileVersionInfoW;
EXTERN_C FARPROC g_pfnVerFindFileA;
EXTERN_C FARPROC g_pfnVerFindFileW;
EXTERN_C FARPROC g_pfnVerInstallFileA;
EXTERN_C FARPROC g_pfnVerInstallFileW;
EXTERN_C FARPROC g_pfnVerLanguageNameA;
EXTERN_C FARPROC g_pfnVerLanguageNameW;
EXTERN_C FARPROC g_pfnVerQueryValueA;
EXTERN_C FARPROC g_pfnVerQueryValueW;
這些變數在DLL載入時通過GetProcAddress賦值即可。

最後,在工程中新建一個匯出宣告檔案,內容如下

LIBRARY
EXPORTS
GetFileVersionInfoA=FakeGetFileVersionInfoA @1
GetFileVersionInfoByHandle=FakeGetFileVersionInfoByHandle @2
GetFileVersionInfoExW=FakeGetFileVersionInfoExW @3
GetFileVersionInfoSizeA=FakeGetFileVersionInfoSizeA @4
GetFileVersionInfoSizeExW=FakeGetFileVersionInfoSizeExW @5
GetFileVersionInfoSizeW=FakeGetFileVersionInfoSizeW @6
GetFileVersionInfoW=FakeGetFileVersionInfoW @7
VerFindFileA=FakeVerFindFileA @8
VerFindFileW=FakeVerFindFileW @9
VerInstallFileA=FakeVerInstallFileA @10
VerInstallFileW=FakeVerInstallFileW @11
VerLanguageNameA=FakeVerLanguageNameA @12
VerLanguageNameW=FakeVerLanguageNameW @13
VerQueryValueA=FakeVerQueryValueA @14
VerQueryValueW=FakeVerQueryValueW @15
可以看到,這樣的寫法完全不理會函式呼叫方式及引數,還能支援x64,完美。

相關推薦

相容3264劫持DLL方案

編寫一個劫持DLL並不難,無非就是模擬原DLL匯出其所有的函式,在假的函式內call/jmp到真的函式即可。現在的問題就在於DLL內是用call還是jmp? 如果用call的話,你得需要知道每一個函式的引數以及呼叫方式,這樣程式碼量會比較多,最重要的是微軟有很多未公開的函式

【原始碼】宣告3264Access、Excel等VBA相容的API函式的方法

1.在宣告中加上  PtrSafe 關鍵字2.加上VBA7 及Win64的判斷 Declare 語句 PtrSafe 關鍵字(可參考VBA幫助)帶有 PtrSafe 關鍵字的 Declare 語句為建議的語法。要使包括 PtrSafe 的 Declare 語句能同時在 32 位和

sizeof的3264相容問題

2010-12-15 周海漢 2010.12.15 http://abloz.com 問題: linux下編寫一個普通的列印語句: printf(“sizeof int is %d”, sizeof(int)); 編譯時會得到

.so相容3264

安卓的相容性是一個很令人頭疼的問題,這幾天又遇到了,還好還是解決了。我遇到的問題是,我在網上下載了一個功能庫,裡面帶了一個xxx.so動態庫,問題它是32位的。但是,早兩天拿了一臺arm-64位的手機進行測試時,發現它居然崩潰了!淚崩了好久... 起初報錯資訊是:java

va_list 3264相容

這兩天將程式移植到64位上,以下程式碼在32位linux上完全沒有問題,但是在64位linux上不能編譯通過: std::vector<char*> vecCharVar; ...... INT32 nprint = vsnprintf(szQuery, sizeof(szQuery

3264系統,到底哪個好?

操作系統 32位系統 64位系統 今天這是個純理論分享了,32位和64位系統有什麽區別?我們到底用哪個好?這個問題在xp時代都不存在,vista系統不談,從win7開始,才出現在我們面前,讓我們抉擇。相信好多人不懂或有些誤區,更甚至有部分自稱為【專家】的人告訴你用32位的,用64位的系統好多軟件都

如何同時支持3264組件自動安裝

需要 win32 目錄 js代碼 off window lsi blank left weboffice論壇 ActiveX可以通過瀏覽器自動從服務器安裝到客戶端,但是IE目前有32位版本和64位版本,對應的ActiveX也分為32位版本和64位版本;由於是兩個版本的兩個

IOS objc_msgSend 3264

padding com cto style else 執行 蘋果官方 sele orm objc_msgSend(obj,normalSelector,command) 只支持32位如果在64位可能出現類的賦值出錯 如: 假如 obj 是CDVPlugin類 normalS

如何在64windows7上同時使用3264的Eclipse

blog post 以及 卸載 jdk 實現 eclipse 刪除 oracl  64位機器上可以同時運行32位和64位的Eclipse,但是電腦中必須有相應的jdk。Eclipse雖然不需要安裝,但是在啟動時會檢查系統中固定文件夾下是否有合適的jre。例如32位Ec

3264系統的區別

blank 內存 jce com 解釋 理論 light 一次 body 系統32位和64位官方解釋 32位和64位操作系統是指:CPU一次處理數據的能力是32位還是64位。現在市場上的CPU一般都是64位的,但是這些CPU並不是真正意義上的64 位CPU,裏面依然保留了大

蘋果產品時間發布表統計(iPhone、iPad),以及3264機的說明

bsp 產品 13.10 上市 pos min ipad mini 時間排序 手機 之前因為某些原因,需要對apple家族的手機和pad產品做一個上市時間排序,以及分析分別是哪種CPU機型 總結如下: iPad家族: 1、iPad     - 2010.1.27發布 2、

3264的區別

32位和64位的區別 位=bit,代表0或1, 比如 0000,代表4位,00001111代表8位 位元組=byte=B=8bit ,一個位元組就是8位 字長:CPU在單位時間內能一次處理的二進位制數的位數叫字長(word size) 32位CPU   

Qt5.9.7 for ARM的編譯安裝(3264

Qt5.9.7 for ARM的編譯安裝   下載原始碼 前往http://download.qt.io/official_releases/qt/5.9/5.9.7/single/下載最新版的原始碼(我這裡下載的是當時最新的5.9.7)qt-everywhere-o

Oracle10g下載地址--多平臺下的3264

4種包的介紹:                     ***_database_*.zip &

32/64系統,jdk326432/64jdk編譯出來的classeclipse 3264

首先關於32位/64位系統,jdk32位,64位,32/64位jdk編譯出來的class和eclipse 32位和64位的一些對應關係做些說明。 1.32位作業系統不可以裝64位jdk,64位作業系統一般都可以安裝32位jdk,64位jdk是完美髮揮效能的。 2.64位eclipse只能在6

3264程式的區別

轉自:https://blog.csdn.net/nma_123456/article/details/45077345 由於作業系統記憶體分配的不同,導致軟體開發過程中,需要編譯不同版本的軟體,此處以VS為例。 1、編譯程式根據需要選擇不同的編譯環境:

3264系統區別及int位元組數

一、64位系統和32位有什麼區別? 1、64bit CPU擁有更大的定址能力,最大支援到16GB記憶體,而32bit只支援4G記憶體 2、64位CPU一次可提取64位資料,比32位提高了一倍,理論上效能會提升1倍。但這是建立在64bit作業系統,64bit軟體的基礎上的。 什麼是64位處理器? 之所以叫

3264作業系統的區別

一,設計初衷不同 1 64位作業系統的設計初衷是:滿足機械設計和分析、三維動畫、視訊編輯和創作,以及科學計算和高效能運算應用程式等領域中需要大量記憶體和浮點效能的客戶需求。它們是高科技人員使用本行業特殊軟體的執行平臺。 2 32位作業系統是為普通使用者設計的。 二,要求

各種資料型別在163264系統下所佔位元組差異簡介

編寫C、C++程式時需要考慮每種資料型別在記憶體中所佔的記憶體大小,即使同一種資料型別在不同平臺下所佔記憶體大小亦不相同,具體對比如下: 資料型別 16位系統(byte) 32位系統(by

Java在win10系統下3264環境變數設定

今天解決的一個問題終於把困擾我多年的環境變數之類的東西搞懂了。 這一切罪惡的根源就是win10的64位系統可以相容32位軟體 當我多年前安裝java的時候,我選擇了安裝32位版本的java而並非64位版本。我按照百度經驗的教程https://jingyan.baidu.c