我遇到了Virtualprotect()api的问题。 我从学校得到了一份任务,我的老师告诉我们,过去记忆力稀少而且代价高昂。程序员必须创建高级算法,以便在运行时自行修改以节省内存。所以你有它,我们现在必须编写这样一个算法,它不必有效但它必须自己修改。
所以我打算这样做,我认为在要求任何帮助之前我已经做了很多。
我的程序是这样的:
我有一个函数和一个内置堆栈溢出的循环。堆栈溢出了代码所在的内存位置的地址,这是在循环期间构造的。控制权传递给内存中的代码。代码加载一个dll然后退出,但在它退出之前它必须修复循环。这是我们分配的条件之一,必须恢复原始循环中的所有更改。
问题是我没有对循环的写访问权限,只有READ_EXECUTE,所以为了改变我的访问权限,我想,我使用的是virtualprotect。但该函数返回错误:
ERROR_NOACCESS,关于此错误的文档非常简洁,windows只说:Invailid访问内存地址。自从我想要首先改变访问权限以来,这些数字。那有什么不对?这是在内存中构造的代码: 我代码中所有数据的名称都有点模糊,所以我提供了一些评论
Size1:
TrapData proc
jmp pLocals
LocalDllName db 100 dup(?) ; name of the dll to be called ebx-82h
RestoreBuffer db 5 dup(?) ; previous bytes at the overflow location
LoadAddress dd 0h ; ebx - 19h ; address to kernel32.loadlibrary
RestoreAddress dd 0h ; ebx - 15h ; address to restore (with the restore buffer)
AddressToRestoreBuffer dd 0h ; ebx - 11h ; obsolete, I don't use this one
AddressToLea dd 0h ; ebx - 0Dh Changed, address to kernel32.virutalprotect
AddressToReturnTo dd 0h ; ebx - 9h address to return execution to(the same as RestoreAddress
pLocals:
call Refpnt
Refpnt: pop ebx ; get current address in ebx
push ebx
mov eax, ebx
sub ebx, 82h
push ebx ; dll name
sub eax, 19h ; load lib address
mov eax, [eax]
call eax
pop ebx ; Current address
push ebx
;BOOL WINAPI VirtualProtect(
; __in LPVOID lpAddress,
; __in SIZE_T dwSize,
; __in DWORD flNewProtect,
; __out PDWORD lpflOldProtect
;);
mov eax, ebx
mov esi, ebx
sub eax, 82h
push eax ; overwrite the buffer containing the dll name, we don't need it anymore
push PAGE_EXECUTE_READWRITE
push 5h
sub esi, 15h
mov esi, [esi]
push esi
sub ebx, 0Dh
mov ebx, [ebx]
call ebx ; Returns error 998 ERROR_NOACCESS (to what?)
pop ebx
push ebx
sub ebx, 1Eh
mov eax, ebx ; restore address buffer pointer
pop ebx
push ebx
sub ebx, 15h ; Restore Address
mov ebx, [ebx]
xor esi, esi ; counter to 0
@0:
push eax
mov al, byte ptr[eax+esi]
mov byte ptr[ebx+esi], al
pop eax
inc esi
cmp esi, 5
jne @0
pop ebx
sub ebx, 9h
mov ebx, [ebx]
push ebx ; address to return to
ret
Size2:
那有什么不对? 你能帮助我吗?
编辑,工作代码:
Size1:
jmp pLocals
LocalDllName db 100 dup(?)
RestoreBuffer db 5 dup(?)
LoadAddress dd 0h ; ebx - 19h
RestoreAddress dd 0h ; ebx - 15h
AddressToRestoreBuffer dd 0h ; ebx - 11h
AddressToLea dd 0h ; ebx - 0Dh
AddressToReturnTo dd 0h ; ebx - 9h
pLocals:
call Refpnt
Refpnt: pop ebx ; get current address in ebx
push ebx
mov eax, ebx
sub ebx, 82h
push ebx ; dll name
sub eax, 19h ; load lib address
mov eax, [eax]
call eax
pop ebx ; Current address
push ebx
;BOOL WINAPI VirtualProtect(
; __in LPVOID lpAddress,
; __in SIZE_T dwSize,
; __in DWORD flNewProtect,
; __out PDWORD lpflOldProtect
;);
mov esi, ebx
push 0
push esp
push PAGE_EXECUTE_READWRITE
push 5h
sub esi, 15h
mov esi, [esi]
push esi
sub ebx, 0Dh
mov ebx, [ebx]
call ebx
pop ebx
pop ebx
push ebx
sub ebx, 1Eh
mov eax, ebx ; restore address buffer pointer
pop ebx
push ebx
sub ebx, 15h ; Restore Address
mov ebx, [ebx]
xor esi, esi ; counter to 0
@0:
push eax
mov al, byte ptr[eax+esi]
mov byte ptr[ebx+esi], al
pop eax
inc esi
cmp esi, 5
jne @0
pop ebx
sub ebx, 9h
mov ebx, [ebx]
push ebx ; address to return to
ret
Size2:
也许有点草率,但我没有关系;)
答案 0 :(得分:3)
您正在尝试VirtualProtect将lpflOldProtect写入只读内存位置,即您当前的代码部分,这是您首先尝试取消保护的部分!我猜这是给你ERROR_NO_ACCESS的东西。由于您仍在使用堆栈,因此请将lpflOldProtect写入堆栈位置。
答案 1 :(得分:0)
这并不像过去那么容易;读访问用于暗示执行访问,并且 lot 的内存映射被映射为可写。
现在,如果有许多(任何?)内存映射都是可写的和可执行文件,我会感到惊讶。 (具有PAE支持的现代CPU足以让32位内核提供非可执行但可读的映射。)
我首先要说的是,首先找到一个较旧的Windows系统,Win2k或更早版本,然后开始尝试解决这个问题。 :)
编辑:哦!我以为加载DLL失败了。干得好。 :)
'恢复循环'是什么意思?由于你破坏了堆栈以跳转到你的代码,你没有真的破坏循环的文本段,你只是在堆栈上乱写。你可以在循环之前插入另一个函数,然后从你的dll返回到调用你的循环的函数。 (你'从循环中返回'你注入的代码,所以你不能在没有为它构建假堆栈框架的情况下返回循环;返回到前一个函数似乎比构建一个假堆栈框架更容易。)