LoadLibrary内部的访问冲突
本文关键字:访问冲突 内部 LoadLibrary | 更新日期: 2023-09-27 17:49:27
我使用CreateRemoteProcess将一些汇编代码注入远程进程(64位),然后加载dll,但我在LoadLibraryA内部获得C0000005 EXCEPTION_ACCESS_VIOLATION用于加载我的.dll文件的调用。
这是注入的汇编代码(地址在下面的截图中是不同的,但这些是在写入之前相对于远程内存地址计算的):
MOV RCX,2A0DFF0020
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
MOV RCX,RAX
MOV RDX,2A0DFF0030
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0010],RAX
MOV RCX,2A0DFF0040
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
CMP RAX,0
JNZ 2A0DFF024D
XOR CL,CL
MOV RDX,2A0DFF00C0
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0000],RAX
MOV RCX,RAX
MOV RDX,2A0DFF00A0
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
CMP RAX,0
JNZ 2A0DFF02A7
XOR CL,CL
MOV RDX,2A0DFF0140
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV RCX,2A0DFF0000
XOR DL,DL
MOV RAX,<kernel32.FreeLibraryAndExitThread>
CALL RAX
这是在CALL崩溃之前的寄存器和内存的屏幕截图(还有高亮显示的汇编代码!),这是实际崩溃的屏幕截图
完整的Dll我正试图注入现在(只是一个测试):
#include <windows.h>
__declspec(dllexport) void init(void)
{
return;
}
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
return TRUE;
}
我用以下命令编译了最新的64位tcc dll:
tcc -o "test.dll" -shared testdll.c
下面是注入代码,我去掉了所有的错误处理:
//AlignedStream is a stream wrapper that supports aligning memory,
//in this case to 16 Byte borders
data = new AlignedStream(new MemoryStream());
//adding the strings to the stream (using Encoding.ASCII.GetBytes)
System.Diagnostics.Process.EnterDebugMode();
var process = Interop.OpenProcess
(
Interop.ProcessAccessFlags.CreateThread |
Interop.ProcessAccessFlags.VirtualMemoryOperation |
Interop.ProcessAccessFlags.VirtualMemoryWrite |
Interop.ProcessAccessFlags.QueryInformation |
Interop.ProcessAccessFlags.QueryLimitedInformation,
false,
processId
);
var asmsize = GetAsmSize();
var RemoteMemory = Interop.VirtualAllocEx(
process,
IntPtr.Zero,
new UIntPtr((ulong)asmsize + (ulong)data.Length),
Interop.AllocationType.Commit | Interop.AllocationType.Reserve,
Interop.MemoryProtection.ExecuteReadWrite
);
//Adding the assembler to the stream (as raw bytes in code)
var bytes = data.ToArray();
var oldProtect = Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
Interop.MemoryProtection.ExecuteReadWrite
);
var written = Interop.WriteProcessMemory
(
process,
RemoteMemory,
bytes,
new UIntPtr((ulong)bytes.LongLength)
);
Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
oldProtect
);
Interop.FlushInstructionCache
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength)
);
var thread = Interop.CreateRemoteThread
(
process,
IntPtr.Zero,
UIntPtr.Zero,
IntPtr.Add(RemoteMemory, asmOffset),
IntPtr.Zero,
Interop.ThreadCreation.Default
);
var result = Interop.WaitForSingleObject(thread, Interop.INFINITE);
Interop.VirtualFreeEx
(
process,
RemoteMemory,
UIntPtr.Zero,
Interop.FreeType.Release
);
System.Diagnostics.Process.LeaveDebugMode();
Interop.CloseHandle(process);
我确保.dll、目标进程和注入器都是64位的,并且注入器以管理员权限运行。当用一个只调用LoadLibrary的测试项目加载时,dll加载得很好。
Things I tried fix it:
我尝试使用LoadLibraryW而不是在同一点崩溃(从我在调试器中看到的,loadlibraryarya实际上在某一点调用LoadLibraryExW,就像LoadLibraryW)。
所有以前的问题,我发现类似的问题归结为数据没有被写入目标进程,但正如你在屏幕截图中看到的,它肯定在那里。
我尝试使用不同的进程,看看它是否特定于记事本,因为它在系统目录中,没有成功
我尝试使用vc++构建的dll
您没有遵循标准调用约定。特别是,但不限于,您没有对齐堆栈,因此对齐的SSE移动指令MOVAPS在LoadLibrary函数中出错。要解决这个直接的问题,可以在代码的开头执行AND RSP, -16。您还可以添加标准函数序言(PUSH RBP; MOV RBP, RSP)和尾声(MOV RSP, RBP; POP RBP; RET)。
但是,您应该注意遵循调用约定的所有特性(例如为参数分配溢出空间)以创建合适的代码,而不仅仅是碰巧工作的代码。