龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
查看: 4225|回复: 0

32位DLL注入到64位进程方法与源码

[复制链接]

12

主题

0

回帖

15

积分

编程入门

Rank: 1

龙马币
32

在之前写注入都是32位exe文件注入32位dll到32位exe文件中,或者都是64位。但是之前看到关于32位进程注入64位进程的方法,将学习笔记记录下来。

我们需要借助GitHub上的开源库rewolf-wow64ext 这个库的目的就是让运行在Wow64环境中的x86应用程序可以直接调用x64下ntdll.dll中的Native API。通过这个开源项目我们大致可以知道:

    ①在x64下的进程,不管是32位或者是64位,实际上都映射了两个地址空间,一个是32位,一个是64位。相当于一个进程的两种工作模式,而且这两种工作模式是可以进行切换的;

    ②Wow64进程中的r12寄存器指向64位的TEB结构(TEB64);
    ③每个32位进程都会加重ntdll32.dll和ntdll.dll模块。其中ntdll.dll是64位模块,我们可以将进程的32位模式改为64位模式,然后再去操作64位进程。

具体的操作:

    ① 进程的32位模式改成64位模式
  1. #define X64_Start() X64_Start_with_CS(0x33)
  2. #define X64_End() X64_End_with_CS(0x23)
复制代码

在wow64ext中对x64 api进程调用时,使用X64_Start_with_CS(0x33)设置进程的'运行模式"为64位。
  1. <div>#define EMIT(a) __asm __emit (a)</div><div>
  2. #define X64_Start_with_CS(_cs) \
  3.     { \
  4.     EMIT(0x6A) EMIT(_cs)                         /*  push   _cs             */ \
  5.     EMIT(0xE8) EMIT(0) EMIT(0) EMIT(0) EMIT(0)   /*  call   $+5             */ \
  6.     EMIT(0x83) EMIT(4) EMIT(0x24) EMIT(5)        /*  add    dword [esp], 5  */ \
  7.     EMIT(0xCB)                                   /*  retf                   */ \
  8.     }

  9. #define X64_End_with_CS(_cs) \
  10.     { \
  11.     EMIT(0xE8) EMIT(0) EMIT(0) EMIT(0) EMIT(0)                                 /*  call   $+5                   */ \
  12.     EMIT(0xC7) EMIT(0x44) EMIT(0x24) EMIT(4) EMIT(_cs) EMIT(0) EMIT(0) EMIT(0) /*  mov    dword [rsp + 4], _cs  */ \
  13.     EMIT(0x83) EMIT(4) EMIT(0x24) EMIT(0xD)                                    /*  add    dword [rsp], 0xD      */ \
  14.     EMIT(0xCB)                                                                 /*  retf                         */ \
  15.     }</div><div>
  16. </div>
复制代码

可以看到主要是借助retf将CS寄存器的值设置为0x33。这里提一下题外话,可以百度一下ret,iret和retf三者之间的区别。

②获得目标函数所在模块(ntdll.dll)在x64模式下的加载基地址:

  1. #define X64_Push(r) EMIT(0x48 | ((r) >> 3)) EMIT(0x50 | ((r) & 7))

  2. DWORD64 getTEB64()
  3. {
  4.     reg64 reg;
  5.     reg.v = 0;   
  6.     X64_Start();
  7.     // R12 register should always contain pointer to TEB64 in WoW64 processes
  8.     X64_Push(_R12);
  9.     // below pop will pop QWORD from stack, as we're in x64 mode now
  10.     __asm pop reg.dw[0]
  11.     X64_End();
  12.     return reg.v;
  13. }
复制代码

关于TEB的获得是通过r12-->TEB64--->PEB--->LDR匹配到ntdll.dll来找到ntdll.dll的加载基地址。

③解析PE结构找到目标函数在"x64模式"下的真实地址(GetProcAddr())。

④通过函数地址调用"x64模式"下的目标函数。这里要注意x64函数调用约定的改变,前4个参数通过rcx,rdx,r8,r9来传递,之后通过堆栈传递。X64Call()已经封装好了。

接下来我们可以开始实际的工作了。
  1. NTSTATUS
  2. NTAPI
  3. RtlCreateUserThread(
  4.     _In_ HANDLE processHandle,
  5.     _In_ SECURITY_DESCRIPTOR* securityDescriptor,
  6.     _In_ BOOLEAN createSuspended,
  7.     _In_ ULONG stackZeroBits,
  8.     _Inout_opt_ size_t* stackReserved,
  9.     _Inout_opt_ size_t* stackCommit,
  10.     _In_ const void* startAddress,
  11.     _In_ void* startParameter,
  12.     _Inout_ HANDLE* threadHandle,
  13.     _Inout_opt_ CLIENT_ID* clientID
  14.     );

  15. NTSTATUS
  16. NTAPI
  17. LdrLoadDll(
  18.     _In_opt_ PWSTR SearchPath,
  19.     _In_opt_ PULONG LoadFlags,
  20.     _In_ PUNICODE_STRING Name,
  21.     _Out_opt_ PVOID *BaseAddress
  22.     );

  23. VOID
  24. NTAPI
  25. RtlExitUserThread(
  26.     _In_ NTSTATUS Status
  27.     );
复制代码


不同于之前利用CreateRemoteThread()来创建线程。因为CreateRemoteThread()是由Kernel32.dll导出的,wow64ext这个库只针对ntdll.dll(同理LoadLibrary也不能调用)。所以采用ntdll中未文档化的RtlCreateUserThread()来创建远程线程,LdrLoadDll()加载dll,在远程线程中调用RtlExitUserThread()终止远程线程。

  1. // Wow64Injectx64.cpp : 定义控制台应用程序的入口点。
  2. #include "stdafx.h"
  3. #include "Wow64Injectx64.h"
  4. #include <memory>
  5. #include <string>
  6. #include <Windows.h>
  7. #include "wow64ext.h"
  8. #ifdef _DEBUG
  9. #define new DEBUG_NEW
  10. #endif

  11. #pragma comment(lib,"wow64ext.lib")

  12. // 唯一的应用程序对象
  13. CWinApp theApp;

  14. using namespace std;

  15. typedef struct _UNICODE_STRING {
  16.     USHORT    Length;     //UNICODE占用的内存字节数,个数*2;
  17.     USHORT      MaximumLength;
  18.     DWORD64   Buffer;     //注意这里指针的问题
  19. } UNICODE_STRING ,*PUNICODE_STRING;



  20. unsigned char shell_code[] = {
  21.     0x48, 0x89, 0x4c, 0x24, 0x08,                               // mov       qword ptr [rsp+8],rcx
  22.     0x57,                                                       // push      rdi
  23.     0x48, 0x83, 0xec, 0x20,                                     // sub       rsp,20h
  24.     0x48, 0x8b, 0xfc,                                           // mov       rdi,rsp
  25.     0xb9, 0x08, 0x00, 0x00, 0x00,                               // mov       ecx,8
  26.     0xb8, 0xcc, 0xcc, 0xcc, 0xcc,                               // mov       eac,0CCCCCCCCh
  27.     0xf3, 0xab,                                                 // rep stos  dword ptr [rdi]
  28.     0x48, 0x8b, 0x4c, 0x24, 0x30,                               // mov       rcx,qword ptr [__formal]
  29.     0x49, 0xb9, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       r9,0  //PVOID*  BaseAddr opt
  30.     0x49, 0xb8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       r8,0  //PUNICODE_STRING Name
  31.     0x48, 0xba, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rdx,0
  32.     0x48, 0xb9, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rcx,0
  33.     0x48, 0xb8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rax,0
  34.     0xff, 0xd0,                                                 // call      rax   LdrLoadDll
  35.     0x48, 0xb9, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rcx,0
  36.     0x48, 0xb8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, // mov       rax,0
  37.     0xff, 0xd0                                                  // call      rax
  38. };


  39. enum  InjectResult{
  40.     OK,
  41.     Error_NoSuchFile,
  42.     Error_OpenProcess,
  43.     Error_VirtualAllocEx,
  44.     Error_GetProcAddress,
  45.     Error_WriteProcessMemory,
  46.     Error_CreateRemoteThread
  47. };


  48. InjectResult Wow64Injectx64(DWORD processid,const TCHAR* file_path);

  49. int _tmain(int argc, TCHAR* argv[], TCHAR* envp[])
  50. {
  51.     cout<<"查看要注入进程的ID"<<endl;   
  52.     ULONG_PTR ProcessID = 0;
  53.    
  54.     printf("Input ProcessID\r\n");
  55.     cin>>ProcessID;
  56.     WCHAR file_path[] = L"E:\\Messagebox.dll";

  57.     if (OK==Wow64Injectx64(ProcessID,file_path))
  58.     {
  59.         printf("Inject Success!\n");
  60.     }
  61.     return 0;
  62. }


  63. InjectResult Wow64Injectx64(DWORD processid,const TCHAR* file_path)
  64. {
  65.    
  66.     if (!PathFileExists(file_path))
  67.     {
  68.         return Error_NoSuchFile;
  69.     }

  70.     HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,FALSE,processid);
  71.     if (INVALID_HANDLE_VALUE == handle)
  72.     {
  73.         return Error_OpenProcess;
  74.     }

  75.     size_t file_path_mem_length = (size_t)::_tcslen(file_path);
  76.     size_t paramemter_size = (file_path_mem_length+1)*sizeof(TCHAR) + sizeof(UNICODE_STRING) + sizeof(DWORD64);
  77.     DWORD64 paramemter_mem_addr = (DWORD64)VirtualAllocEx64(handle,NULL,paramemter_size,MEM_COMMIT,PAGE_READWRITE);
  78.     DWORD64  shell_code_addr = (DWORD64)VirtualAllocEx64(handle,NULL,sizeof(shell_code),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
  79.     if ((!paramemter_mem_addr) || (!shell_code_addr))
  80.     {
  81.         return Error_VirtualAllocEx;
  82.     }
  83.    
  84.     char * paramemter_mem_local = new char[paramemter_size];
  85.     memset(paramemter_mem_local,0,paramemter_size);

  86.     PUNICODE_STRING ptr_unicode_string = (PUNICODE_STRING)(paramemter_mem_local + sizeof(DWORD64));
  87.     ptr_unicode_string->Length = file_path_mem_length;
  88.     ptr_unicode_string->MaximumLength = file_path_mem_length*2;
  89.     wcscpy((WCHAR*)(ptr_unicode_string+1),file_path);
  90.     ptr_unicode_string->Buffer = (DWORD64)((char*)paramemter_mem_addr+sizeof(DWORD64)+sizeof(UNICODE_STRING));

  91.     DWORD64 ntdll64 = GetModuleHandle64(L"ntdll.dll");
  92.     DWORD64 ntdll_LdrLoadDll = GetProcAddress64(ntdll64,"LdrLoadDll");
  93.     DWORD64 ntdll_RtlCreateUserThread = GetProcAddress64(ntdll64,"RtlCreateUserThread");
  94.     DWORD64 ntdll_RtlExitThread = GetProcAddress64(ntdll64,"RtlExitUserThread");
  95.     if (NULL == ntdll_LdrLoadDll || NULL==ntdll_RtlCreateUserThread || NULL==ntdll_RtlExitThread)
  96.     {
  97.         return Error_GetProcAddress;
  98.     }

  99.     //r9
  100.     memcpy(shell_code+32,&memter_mem_addr,sizeof(DWORD64));
复制代码



您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
在线客服
快速回复 返回顶部 返回列表