我正在使用CreateRemoteProcess将一些汇编程序代码注入一个远程进程(64位),然后加载一个dll,但我在LoadLibraryA中得到一个C0000005 EXCEPTION_ACCESS_VIOLATION,用于加载我的.dll文件的调用。 / p>
下面是注入的汇编程序代码(下面的屏幕截图中的地址不同,但这些是在编写之前相对于远程内存地址计算的):
MOV RCX,2A0DFF0020
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
MOV RCX,RAX
MOV RDX,2A0DFF0030
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0010],RAX
MOV RCX,2A0DFF0040
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
CMP RAX,0
JNZ 2A0DFF024D
XOR CL,CL
MOV RDX,2A0DFF00C0
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0000],RAX
MOV RCX,RAX
MOV RDX,2A0DFF00A0
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
CMP RAX,0
JNZ 2A0DFF02A7
XOR CL,CL
MOV RDX,2A0DFF0140
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV RCX,2A0DFF0000
XOR DL,DL
MOV RAX,<kernel32.FreeLibraryAndExitThread>
CALL RAX
Here是CALL崩溃之前的寄存器和内存的屏幕截图(还有突出显示的汇编代码!)和here是实际崩溃的屏幕截图
我正在尝试注入的完整Dll(只是一个测试):
#include <windows.h>
__declspec(dllexport) void init(void)
{
return;
}
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
return TRUE;
}
我使用以下命令使用最新的tcc 64-bit编译了dll:
tcc -o "test.dll" -shared testdll.c
这是注入代码,我删除了所有错误处理:
//AlignedStream is a stream wrapper that supports aligning memory,
//in this case to 16 Byte borders
data = new AlignedStream(new MemoryStream());
//adding the strings to the stream (using Encoding.ASCII.GetBytes)
System.Diagnostics.Process.EnterDebugMode();
var process = Interop.OpenProcess
(
Interop.ProcessAccessFlags.CreateThread |
Interop.ProcessAccessFlags.VirtualMemoryOperation |
Interop.ProcessAccessFlags.VirtualMemoryWrite |
Interop.ProcessAccessFlags.QueryInformation |
Interop.ProcessAccessFlags.QueryLimitedInformation,
false,
processId
);
var asmsize = GetAsmSize();
var RemoteMemory = Interop.VirtualAllocEx(
process,
IntPtr.Zero,
new UIntPtr((ulong)asmsize + (ulong)data.Length),
Interop.AllocationType.Commit | Interop.AllocationType.Reserve,
Interop.MemoryProtection.ExecuteReadWrite
);
//Adding the assembler to the stream (as raw bytes in code)
var bytes = data.ToArray();
var oldProtect = Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
Interop.MemoryProtection.ExecuteReadWrite
);
var written = Interop.WriteProcessMemory
(
process,
RemoteMemory,
bytes,
new UIntPtr((ulong)bytes.LongLength)
);
Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
oldProtect
);
Interop.FlushInstructionCache
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength)
);
var thread = Interop.CreateRemoteThread
(
process,
IntPtr.Zero,
UIntPtr.Zero,
IntPtr.Add(RemoteMemory, asmOffset),
IntPtr.Zero,
Interop.ThreadCreation.Default
);
var result = Interop.WaitForSingleObject(thread, Interop.INFINITE);
Interop.VirtualFreeEx
(
process,
RemoteMemory,
UIntPtr.Zero,
Interop.FreeType.Release
);
System.Diagnostics.Process.LeaveDebugMode();
Interop.CloseHandle(process);
我确保.dll,目标进程和注入器都是64位,并且Injector以管理员权限运行。使用刚刚调用LoadLibrary的测试项目加载它时,dll加载正常。
我试图解决的问题:
我尝试使用LoadLibraryW,它在同一点崩溃(从我在调试器中看到的,LoadLibraryA实际上在某一点调用LoadLibraryExW,就像LoadLibraryW一样)。
我之前发现的所有类似问题的问题都归结为没有写入目标进程的数据,但正如您在屏幕截图中看到的那样,它肯定存在。
我尝试使用不同的流程,看看它是否特定于记事本,因为它在系统目录中,没有成功。
我尝试使用用vc ++构建的dll
我完全没有想法。也许这是我的汇编程序代码中的一个简单的错误,我找不到(对汇编程序很缺乏经验)。为什么会发生这种崩溃以及可以采取哪些措施来阻止它呢?
答案 0 :(得分:3)
您没有遵循标准调用约定。特别地,但不限于,您没有对齐堆栈,因此在MOVAPS函数内对齐的SSE移动指令LoadLibrary出错。要解决当前问题,您可以在代码的开头AND RSP, -16进行操作。您还可以添加标准函数序言(PUSH RBP; MOV RBP, RSP)和结尾(MOV RSP, RBP; POP RBP; RET)。
但是,您应该注意遵循calling convention的所有特性(例如为参数分配溢出空间)来创建正确的代码,而不仅仅是恰好有效的代码。