LoadLibrary 内部的访问冲突
Access Violation inside LoadLibrary
我正在使用 CreateRemoteProcess 将一些汇编程序代码注入远程进程(64 位),然后加载一个 dll,但我在 LoadLibraryA 中得到一个 C0000005 EXCEPTION_ACCESS_VIOLATION 用于加载的调用我的 .dll 文件。
这里是注入的汇编代码(下面截图中的地址不同,但这些都是相对于写入前的远程内存地址计算的):
MOV RCX,2A0DFF0020
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
MOV RCX,RAX
MOV RDX,2A0DFF0030
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0010],RAX
MOV RCX,2A0DFF0040
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
CMP RAX,0
JNZ 2A0DFF024D
XOR CL,CL
MOV RDX,2A0DFF00C0
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0000],RAX
MOV RCX,RAX
MOV RDX,2A0DFF00A0
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
CMP RAX,0
JNZ 2A0DFF02A7
XOR CL,CL
MOV RDX,2A0DFF0140
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV RCX,2A0DFF0000
XOR DL,DL
MOV RAX,<kernel32.FreeLibraryAndExitThread>
CALL RAX
Here is a screenshot of the registers and memory just before the CALL that crashes (and also the assembler code with highlighting!) and here是实际崩溃的截图
我现在尝试注入的完整 Dll(只是一个测试):
#include <windows.h>
__declspec(dllexport) void init(void)
{
return;
}
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
return TRUE;
}
我使用以下命令用最新的 tcc 64 位编译了 dll:
tcc -o "test.dll" -shared testdll.c
这是注入代码,我去掉了所有的错误处理:
//AlignedStream is a stream wrapper that supports aligning memory,
//in this case to 16 Byte borders
data = new AlignedStream(new MemoryStream());
//adding the strings to the stream (using Encoding.ASCII.GetBytes)
System.Diagnostics.Process.EnterDebugMode();
var process = Interop.OpenProcess
(
Interop.ProcessAccessFlags.CreateThread |
Interop.ProcessAccessFlags.VirtualMemoryOperation |
Interop.ProcessAccessFlags.VirtualMemoryWrite |
Interop.ProcessAccessFlags.QueryInformation |
Interop.ProcessAccessFlags.QueryLimitedInformation,
false,
processId
);
var asmsize = GetAsmSize();
var RemoteMemory = Interop.VirtualAllocEx(
process,
IntPtr.Zero,
new UIntPtr((ulong)asmsize + (ulong)data.Length),
Interop.AllocationType.Commit | Interop.AllocationType.Reserve,
Interop.MemoryProtection.ExecuteReadWrite
);
//Adding the assembler to the stream (as raw bytes in code)
var bytes = data.ToArray();
var oldProtect = Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
Interop.MemoryProtection.ExecuteReadWrite
);
var written = Interop.WriteProcessMemory
(
process,
RemoteMemory,
bytes,
new UIntPtr((ulong)bytes.LongLength)
);
Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
oldProtect
);
Interop.FlushInstructionCache
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength)
);
var thread = Interop.CreateRemoteThread
(
process,
IntPtr.Zero,
UIntPtr.Zero,
IntPtr.Add(RemoteMemory, asmOffset),
IntPtr.Zero,
Interop.ThreadCreation.Default
);
var result = Interop.WaitForSingleObject(thread, Interop.INFINITE);
Interop.VirtualFreeEx
(
process,
RemoteMemory,
UIntPtr.Zero,
Interop.FreeType.Release
);
System.Diagnostics.Process.LeaveDebugMode();
Interop.CloseHandle(process);
我确保.dll、目标进程和注入器都是 64 位的,并且注入器是 运行 管理员权限。使用仅调用 LoadLibrary 的测试项目加载时,dll 加载正常。
我试图解决的问题:
我尝试改用 LoadLibraryW,但它在同一点崩溃(从我在调试器中看到的情况来看,LoadLibraryA 实际上在某个时刻调用了 LoadLibraryExW,就像 LoadLibraryW 一样)。
我以前发现的所有类似问题的问题都归结为数据没有写入目标进程,但正如您在屏幕截图中看到的那样,它肯定存在。
我尝试使用不同的进程,看它是否特定于记事本,因为它在系统目录中,没有成功。
我尝试使用由 vc++
我完全没主意了。也许这是我无法找到的汇编代码中的一个简单错误(对汇编程序非常缺乏经验)。为什么会发生此崩溃以及可以采取哪些措施来防止它?
您没有遵循标准调用约定。特别是但不限于,您没有对齐堆栈,因此对齐的 SSE 移动指令 MOVAPS 在 LoadLibrary 函数内出错。要解决眼前的问题,您可以在代码的开头执行 AND RSP, -16 。您还可以添加标准函数序言 (PUSH RBP; MOV RBP, RSP) 和结尾 (MOV RSP, RBP; POP RBP; RET).
然而,您应该注意遵循 calling convention 的所有特性(例如为参数分配溢出 space)以创建适当的代码,而不仅仅是恰好有效的代码。
我正在使用 CreateRemoteProcess 将一些汇编程序代码注入远程进程(64 位),然后加载一个 dll,但我在 LoadLibraryA 中得到一个 C0000005 EXCEPTION_ACCESS_VIOLATION 用于加载的调用我的 .dll 文件。
这里是注入的汇编代码(下面截图中的地址不同,但这些都是相对于写入前的远程内存地址计算的):
MOV RCX,2A0DFF0020
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
MOV RCX,RAX
MOV RDX,2A0DFF0030
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0010],RAX
MOV RCX,2A0DFF0040
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
CMP RAX,0
JNZ 2A0DFF024D
XOR CL,CL
MOV RDX,2A0DFF00C0
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0000],RAX
MOV RCX,RAX
MOV RDX,2A0DFF00A0
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
CMP RAX,0
JNZ 2A0DFF02A7
XOR CL,CL
MOV RDX,2A0DFF0140
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV RCX,2A0DFF0000
XOR DL,DL
MOV RAX,<kernel32.FreeLibraryAndExitThread>
CALL RAX
Here is a screenshot of the registers and memory just before the CALL that crashes (and also the assembler code with highlighting!) and here是实际崩溃的截图
我现在尝试注入的完整 Dll(只是一个测试):
#include <windows.h>
__declspec(dllexport) void init(void)
{
return;
}
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
return TRUE;
}
我使用以下命令用最新的 tcc 64 位编译了 dll:
tcc -o "test.dll" -shared testdll.c
这是注入代码,我去掉了所有的错误处理:
//AlignedStream is a stream wrapper that supports aligning memory,
//in this case to 16 Byte borders
data = new AlignedStream(new MemoryStream());
//adding the strings to the stream (using Encoding.ASCII.GetBytes)
System.Diagnostics.Process.EnterDebugMode();
var process = Interop.OpenProcess
(
Interop.ProcessAccessFlags.CreateThread |
Interop.ProcessAccessFlags.VirtualMemoryOperation |
Interop.ProcessAccessFlags.VirtualMemoryWrite |
Interop.ProcessAccessFlags.QueryInformation |
Interop.ProcessAccessFlags.QueryLimitedInformation,
false,
processId
);
var asmsize = GetAsmSize();
var RemoteMemory = Interop.VirtualAllocEx(
process,
IntPtr.Zero,
new UIntPtr((ulong)asmsize + (ulong)data.Length),
Interop.AllocationType.Commit | Interop.AllocationType.Reserve,
Interop.MemoryProtection.ExecuteReadWrite
);
//Adding the assembler to the stream (as raw bytes in code)
var bytes = data.ToArray();
var oldProtect = Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
Interop.MemoryProtection.ExecuteReadWrite
);
var written = Interop.WriteProcessMemory
(
process,
RemoteMemory,
bytes,
new UIntPtr((ulong)bytes.LongLength)
);
Interop.VirtualProtectEx
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength),
oldProtect
);
Interop.FlushInstructionCache
(
process,
RemoteMemory,
new UIntPtr((ulong)bytes.LongLength)
);
var thread = Interop.CreateRemoteThread
(
process,
IntPtr.Zero,
UIntPtr.Zero,
IntPtr.Add(RemoteMemory, asmOffset),
IntPtr.Zero,
Interop.ThreadCreation.Default
);
var result = Interop.WaitForSingleObject(thread, Interop.INFINITE);
Interop.VirtualFreeEx
(
process,
RemoteMemory,
UIntPtr.Zero,
Interop.FreeType.Release
);
System.Diagnostics.Process.LeaveDebugMode();
Interop.CloseHandle(process);
我确保.dll、目标进程和注入器都是 64 位的,并且注入器是 运行 管理员权限。使用仅调用 LoadLibrary 的测试项目加载时,dll 加载正常。
我试图解决的问题:
我尝试改用 LoadLibraryW,但它在同一点崩溃(从我在调试器中看到的情况来看,LoadLibraryA 实际上在某个时刻调用了 LoadLibraryExW,就像 LoadLibraryW 一样)。
我以前发现的所有类似问题的问题都归结为数据没有写入目标进程,但正如您在屏幕截图中看到的那样,它肯定存在。
我尝试使用不同的进程,看它是否特定于记事本,因为它在系统目录中,没有成功。
我尝试使用由 vc++
构建的 dll
我完全没主意了。也许这是我无法找到的汇编代码中的一个简单错误(对汇编程序非常缺乏经验)。为什么会发生此崩溃以及可以采取哪些措施来防止它?
您没有遵循标准调用约定。特别是但不限于,您没有对齐堆栈,因此对齐的 SSE 移动指令 MOVAPS 在 LoadLibrary 函数内出错。要解决眼前的问题,您可以在代码的开头执行 AND RSP, -16 。您还可以添加标准函数序言 (PUSH RBP; MOV RBP, RSP) 和结尾 (MOV RSP, RBP; POP RBP; RET).
然而,您应该注意遵循 calling convention 的所有特性(例如为参数分配溢出 space)以创建适当的代码,而不仅仅是恰好有效的代码。