Вызов функции для удаленной настройки EAX и ECX

Question

Вызов функции для удаленной настройки EAX и ECX

0

Я пытаюсь запустить функцию, находящуюся в другой программе во время выполнения и удаленно.

Используя ollydbg, я получил адрес функции и им, используя CreateRemoteThread, чтобы запустить эту функцию, она фактически запускает эту функцию, но она возвращает два аргумента и без этих аргументов сбой программы.

Проблема в том, что этот fuction получает аргументы/параметры от EAX и ECX, которые были нажаты на эту функцию до ее вызова (эти два значения являются матричными координатами, которые идут от 1 до 576 ~~)

Createemotethread не работал для определения параметров, я попытался использовать struct для использования нескольких (2) аргументов, но значения из регистров не изменяются.

Как я могу сделать этот fuction запущенным в другой программе, начав с другой отдельной программы и установив эти два регистра?

это код, где я вызываю поток для выполнения этой функции в 0x01003084

    struct tagRemoteThreadParams //didnt worked
    {
        int Param1;
        int Param2;
    } RemoteThreadParams, *PRemoteThreadParams;


    RemoteThreadParams.Param1 = 0x00000001;//didnt worked
    RemoteThreadParams.Param2 = 0x00000001;//didnt worked


    int address=0x010038B1; // 0x01003084   --  0x01002FE0 -- 0x01003512  //Some addresses

    RedrawWindow(Find,NULL,NULL,RDW_ERASE|RDW_INVALIDATE|RDW_INTERNALPAINT|RDW_FRAME); //my program stuff

    DWORD rc;

    //this is where i call the function
    CreateRemoteThread(hProcess,NULL,NULL,(LPTHREAD_START_ROUTINE)address,&RemoteThreadParams,0,&rc);

    rc = WaitForSingleObject( hProcess, 30000 ); 
    CloseHandle(hProcess);
    VirtualFreeEx(hProcess, (LPVOID)address, 0, MEM_RELEASE | MEM_DECOMMIT);

Имейте в виду, что я не хочу использовать DLL-инъекцию (это не то, что я ищу), я действительно хочу сделать это только с одним кодом. Благодарю.

Ollegn 06 нояб. 2014, в 22:20

Источник

0

Работа с регистрами напрямую зависит от конкретной ОС / цели. Вы не указали теги для сужения?
πάντα ῥεῖ 06 нояб. 2014, в 20:24
0

Это в Windows, IA32
Ollegn 06 нояб. 2014, в 20:31
0

Многие компиляторы допускают встраивание инструкций на ассемблере в код C / C ++, но синтаксис сильно различается у разных компиляторов. Какой компилятор вы используете? Вы уже читали документы?
Paulo1205 06 нояб. 2014, в 21:08
0

CreateRemoteThread позволяет только вызывать функции, принимающие один параметр LPVOID (например, ThreadProc). Учитывая тот факт, что вы освобождаете страницу, содержащую функцию: вводите ли вы эту функцию самостоятельно? Если так: измените подпись так, чтобы она соответствовала ThreadProc. Если нет: возможно, вы можете сначала внедрить вспомогательную функцию (с подписью ThreadProc), которая помещает члены вашей структуры (переданные как LPVOID) в стек перед вызовом вашей фактической цели.
heinrichj 06 нояб. 2014, в 21:12
0

@ Paulo1205, я использую g ++, да, регистры, которые я хочу изменить, - это другая программа, а не та, которую я пишу, поэтому запись в asm повлияет на нее, только если я внедряю код в другую программу.
Ollegn 06 нояб. 2014, в 21:32
0

@heinrichj Как функция, которая получает LPVOID выглядит asm? Я думал об использовании вспомогательной функции, но я не хочу использовать Dlls, и если я попытаюсь использовать WriteProcessMemory, мне придется преобразовать функцию в OP-коды, и я на самом деле не знаю, как это сделать, и этот новый введенный код пришлось бы получить 2 значения из потока тоже.
Ollegn 06 нояб. 2014, в 21:34
0

@Ollegn Вы не можете легко отличить подпись от сборки функции. Если ваши два значения параметров известны вам во время внедрения, вы можете просто жестко их кодировать: просто внедрите фрагмент кода с помощью двух инструкций push, которые передают константы, а затем инструкцию call для целевой функции. Вы можете использовать что-то вроде WinASM для кодирования этих инструкций по сборке; вам просто нужно заменить байты переменной (без инструкции).
heinrichj 07 нояб. 2014, в 07:54
0

@heinrichj Я действительно не хочу менять целевой ассемблер, я мог бы просто сделать пещеру для кода и поместить некоторый код, который делает это для меня, но позже я хочу распространять только основной код, поэтому ppl может использовать этот код, не имея сделать этот код пещерой в цель.
Ollegn 07 нояб. 2014, в 19:55

Показать ещё 6 комментариев

Теги:

c++

multithreading

windows

memory

reverse-engineering

2 ответа

Ещё вопросы

Работа с регистрами напрямую зависит от конкретной ОС / цели. Вы не указали теги для сужения?
Многие компиляторы допускают встраивание инструкций на ассемблере в код C / C ++, но синтаксис сильно различается у разных компиляторов. Какой компилятор вы используете? Вы уже читали документы?
CreateRemoteThread позволяет только вызывать функции, принимающие один параметр LPVOID (например, ThreadProc). Учитывая тот факт, что вы освобождаете страницу, содержащую функцию: вводите ли вы эту функцию самостоятельно? Если так: измените подпись так, чтобы она соответствовала ThreadProc. Если нет: возможно, вы можете сначала внедрить вспомогательную функцию (с подписью ThreadProc), которая помещает члены вашей структуры (переданные как LPVOID) в стек перед вызовом вашей фактической цели.
@ Paulo1205, я использую g ++, да, регистры, которые я хочу изменить, - это другая программа, а не та, которую я пишу, поэтому запись в asm повлияет на нее, только если я внедряю код в другую программу.
@heinrichj Как функция, которая получает LPVOID выглядит asm? Я думал об использовании вспомогательной функции, но я не хочу использовать Dlls, и если я попытаюсь использовать WriteProcessMemory, мне придется преобразовать функцию в OP-коды, и я на самом деле не знаю, как это сделать, и этот новый введенный код пришлось бы получить 2 значения из потока тоже.
@Ollegn Вы не можете легко отличить подпись от сборки функции. Если ваши два значения параметров известны вам во время внедрения, вы можете просто жестко их кодировать: просто внедрите фрагмент кода с помощью двух инструкций push, которые передают константы, а затем инструкцию call для целевой функции. Вы можете использовать что-то вроде WinASM для кодирования этих инструкций по сборке; вам просто нужно заменить байты переменной (без инструкции).
@heinrichj Я действительно не хочу менять целевой ассемблер, я мог бы просто сделать пещеру для кода и поместить некоторый код, который делает это для меня, но позже я хочу распространять только основной код, поэтому ppl может использовать этот код, не имея сделать этот код пещерой в цель.

David Heffernan · Answer 1 · 2014-11-07T18-25-00.000Z

Ну, вы не можете передать эту функцию как поток потока для CreateRemoteThread потому что эта функция не имеет правильной подписи. Итак, вам нужно передать функцию, которая имеет правильную подпись.

Один очень распространенный способ сделать это - передать адрес LoadLibrary. Вам нужно будет предоставить свою собственную DLL. DllMain для этой DLL может затем создать новый поток, который вызывает вашу функцию.

Но вы говорите, что не хотите привлекать другую DLL. Поэтому, на мой взгляд, один вариант. Выделите некоторую память в виртуальном адресном пространстве целевого процесса. Обеспечьте, чтобы память имела исполняемую защиту. Запишите в эту память процедуру потока с правильной подписью для CreateRemoteThread. И внутри этой процедуры потока, наконец, вызовите нужную функцию.

Mats Petersson · Answer 2 · 2014-11-06T19-34-00.000Z

Единственное ваше решение состоит в том, чтобы вводить код в другой процесс, который делает правильную настройку регистров, а затем вызывает функцию, которую вы хотите вызвать. У CreateRemoteThread есть строгое соглашение о вызове, поэтому вы не можете заставить его иметь определенные значения регистра при входе.

Другой альтернативой является использование функции отладки в Windows для изменения содержимого регистра, но для этого требуется, чтобы вы остановили код [в правильном потоке] в нужном месте и задали регистры перед продолжением. Какая сложность, и большинство приложений (при условии, что мы играем в игры с талией и т.д.), Имеют защиту, чтобы предотвратить отладочные функции от "беспорядка" с их состоянием.