Windows x86/x64 动态库劫持

已于 2023-05-27 12:32:39 修改
阅读量3.8k 收藏 24
点赞数 16
分类专栏: Windows 文章标签: windows microsoft
于 2020-03-15 22:44:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cstringw/article/details/104888535
版权

Windows x86/x64 动态库劫持

本文来源:Zero’s Donkey Den
源文地址:https://7-0.cc/windows-x64-x86-dll-hijack/
源文标题:论Windows x64下动态库劫持技术
转载许可:未经授权,禁止转载

从调用约定开始简述x64动态库劫持技术,并通过AheadLib实现对x64架构下动态库的劫持,以及如何在目标函数调用前后记录传递的参数和返回值。

1. 引子

很多时候出于各种各样的原因,我们需要用到动态库劫持技术来做一些研究或者实现某种功能,这时候我们会用到一些DLL劫持工具来简化工作。

比如 AheadLib:它可以根据目标DLL的导出函数,自动生成劫持相关的代码,免去了我们手动提取导出函数、编写劫持代码。我们将生成的代码编译成DLL, 冒名顶替目标DLL,就可以将目标函数的调用转接到新的DLL。

之前用过AheadLib来分析一个商业软件与第三方组件的交互流程, 效果不错所以印象深刻.

这里主要描述Windows x64/x86动态库劫持技术,以及由此展开的相关调用约定简述,默认读者具备以下基础:

  • C/C++基础
  • x86汇编(INTEL风格)

就在不久前我又有了一个类似的需求,目标是64位软件,而手里面的AheadLib是32位。经过一番搜索在看雪论坛找到了64位的版本,但结果却不如我的预期,这才有了接下来的故事;

64位的AheadLib生成的代码比之前有了很大的改变,原因是Win x64环境下函数的前4个参数是通过寄存器传递, 与x86环境下所有参数经过压栈传递(cdecl, stdcall, …)大有不同;

2. 简述x86 与 x64 下C/C++函调用的差异

x86下C/C++函数的调用方式(也就是调用约定)主要有如下几种方式, 其参数均通过压栈传递:

  1. cdecl (Microsoft C++系列编译器的默认调用方式)
  2. stdcall (Windows绝大部分API的默认调用方式, 有时候也称为pascal)
  3. thiscall (C++成员函数的调用方式)

下面我们来看看在汇编层面上x86与x64下调用约定的细节:

// x86 cdecl调用约定下的参数传递及返回值
int main()
{
   
    test_function(0x5555aaaa, 0x3333eeee, 
        3.141592656245, 0x2222dddd, 0x1111bbbb, 0x6666ffff);
    return 0;
}

; 这是对应的汇编代码
fld         qword ptr [__real@400921fb549f688a]  
push        6666FFFFh                               ; 参数6, 放到栈上
push        1111BBBBh                               ; 参数5, 放到栈上
push        2222DDDDh                               ; 参数4, 放到栈上  
sub         esp,8  
fstp        qword ptr [esp]                         ; 参数3, 放到栈上
push        3333EEEEh                               ; 参数2, 放到栈上
push        5555AAAAh                               ; 参数1, 放到栈上
call        dword ptr [__imp_test_function]         ; 调用
add         esp,1Ch                                 ; 平栈
xor         eax,eax                                 ; 返回值清0
ret

而到了x64就只剩下了一种快速调用约定(x64) fastcall, 虽然在x86下该约定也存在但极少见到我们这里不讨论:

// x64 环境下的参数传递
int main()
{
   
    test_function(0x5555aaaa, 0x3333eeee, 
        3.141592656245, 0x2222dddd, 0x1111bbbb, 0x6666ffff);
    return 0;
}

; 这是对应的汇编代码
sub         rsp,38h                                     ; 20h(影子空间) + 10h(参数5,6放在栈上) + 8h(对齐用的)
movsd       xmm2,mmword ptr [__real@400921fb549f688a]   ; 参数3, 浮点数放在xmm2
mov         r9d,2222DDDDh                               ; 参数4
mov         edx,3333EEEEh                               ; 参数2
mov         ecx,5555AAAAh                               ; 参数1
mov         dword ptr [rsp+28h],6666FFFFh               ; 参数6, 放到栈上
mov         dword ptr [rsp+20h],1111BBBBh               ; 参数5, 放到栈上
call        qword ptr [__imp_test_function]             ; 调用
xor         eax,eax                                     ; 清空返回值
add         rsp,38h                                     ; 平栈  
ret

从上面我们可以看到x64 fastcall的前4个参数通过寄存器传递, 如果参数大于4才会走栈, 而x86的调用约定都是通过栈传递;
为了推动剧情的发展, 在这里要重点说明一下x64 fastcall调用约定的细节 (略过x86 如果对x86的调用约定感兴趣的话可以参考相关的资料)

3. x64 fastcall调用约定

参考文档: https://docs.microsoft.com/en-us/cpp/build/x64-calling-convention?view=vs-2019

总的来说x64 fastca

最低0.47元/天 解锁文章
Windows提权笔记-动态库劫持(dll劫持、包含多种绕过UAC方法)
墨痕诉清风的博客
03-12 850
dll 劫持是也是绕过 UAC 常用的方法,在 UACME 项目中很多绕过方法都是使用 dll 劫持。dll 劫持也是一个比较大的主题。一般操作如下,假设受信任的程序 c:\windows\system32\test\test.exe 会加载 c:\windows\system32\test.dll (不在 KnowsDLLS里面),
动态链接库劫持生成器
12-25
该动态链接库劫持生成器可以通过劫持dll文件获取相关数据
Winmm劫持源码, 支持X64
03-08
Winmm劫持源码, 支持64位 APIHook
基于aheadlib工具进行DLL劫持
qq_55515447的博客
03-13 412
AheadLib 是一款强大的工具,专门用于生成CPP代码或VS2022工程,适用于DLL劫持场景。该工具支持X86X64架构,是进行DLL劫持操作的必备工具。功能特点生成CPP代码:AheadLib 能够自动生成适用于DLL劫持的CPP代码,简化开发流程。VS2022工程生成:支持生成VS2022工程文件,方便开发者直接在Visual Studio中进行开发和调试。多架构支持:全面支持X86X64架构,满足不同平台的需求。使用场景。
恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86x64有效)
关注互联网安全的小虾米一枚
10-25 9607
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
AheadLib进行简单的DLL注入
I have a dream
10-26 5921
参考链接:http://www.voidcn.com/article/p-hwvwbvwu-xz.html 1、首先编写要注入的DLL文件:dllTest_dll.dll 只进行两个数的简单相加 #include "dllTest_dll.h" int add(int x,int y) { return x+y; } DLL的头文件dllT
Linux LD_PRELOAD动态链接库劫持
SHELLCODE_8BIT的博客
12-02 845
【代码】LD_PRELOAD。
网络安全---Ring3下动态链接库.so函数劫持
m0_68976043的博客
08-20 3786
1.1、原理Unix操作系统中,程序运行时会按照一定的规则顺序去查找依赖的动态链接库,当查找到指定的so文件时,动态链接器(/lib/ld-linux.so.X)会将程序所依赖的共享对象进行装载和初始化,而为什么可以使用so文件进行函数的劫持呢?这与LINUX的特性有关,先加载的so中的全局符号会屏蔽掉后载入的符号,也就是说如果程序先后加载了两个so文件,两个so文件定义了同名函数,程序中调用该函数时,会调用先加载的so中的函数,后加载的将会屏蔽掉;所以要实现劫持,必须要抢得先机,
动态库劫持演示
最新发布
远方雪的专栏
03-30 424
动态库劫持揭示了软件依赖链的潜在风险。理解其原理有助于提升系统防护能力,但技术必须用于正义目的。:将恶意库放在程序搜索路径的优先位置(如当前目录)。,严禁用于非法用途。以下内容仅作为技术研究的参考,),在库中注入恶意代码或劫持函数调用。通过替换目标程序依赖的动态库(如。:覆盖目标库中的关键函数(如。(Linux):使用。
linux 库函数劫持技术,黑盒测试-动态库劫持-so注入-Dll注入
weixin_35433920的博客
05-09 412
在一些比较复杂的出程序中,特别是被混淆过的程序,要对这种程序进行静态分析是很困难的,这时候黑盒测试就成了分析函数的不二之选,本分将会讲述Windows如何利用Dll注入进行黑盒测试。方法编写注入dll、so进行注入测试举例用IDA查看源程序。mainint __cdecl main(int argc, const char **argv, const char **envp){size_t v3;...
AheadLib-x86-x64:hijack dll源代码生成器。 支持x86x64
05-25
AheadLib-x86-x64 hijack dll Source Code Generator. support x86/x64 snapshot screen 不支持导出符号带有??的方法! NOTE Pay attention to the generated file header prompt information
AheadLib-x86-x64: x86/x64平台DLL劫持源代码生成器
标题中提到的"AheadLib-x86-x64"是一个源代码生成器,特别设计来生成能够在x86x64架构下运行的hijack dll(劫持动态链接库)。动态链接库(Dynamic Link Library,简称DLL)是Microsoft Windows操作系统中实现共享...
适用于Windows的zbar库x86/x64 DLL文件发布
zbar_lib_x64_86_DLL作为标题揭示了zbar库对于Windows平台提供了32位和64位的动态链接库版本。开发者可以在兼容的开发环境中使用这个库进行条码扫描相关软件的开发。这个库的使用可以大大简化图像识别的应用开发流程...
动态库劫持挖矿病毒处理
u010101453的博客
05-20 451
动态库劫持病毒的定位与扫毒
linux 动态库
iteye_2401的博客
06-03 202
linux 动态库 一、 动态库配置   1. 修改配置        #cat /etc/ld.so.conf        include ld.so.conf.d/*.conf    # cat /etc/ld.so.conf.d/mysql-x86_64.conf         /usr/lib64/mysql     # file /etc/ld.so.cache    ; ldc...
劫持 64 位静态程序 fini_array 进行 ROP 攻击
SkYe's Blog
09-13 883
[scode type=“lblue”]2020年8月6日 标题添加“静态程序”,补充与 64 位动态程序对比和利用方法差异小结[/scode] 程序起点 程序的启动流程如图所示: 可以看到 main 函数不是程序起点,之前写的 格式化字符串盲打 也分析过 text 段起点是 _start 函数 。_start 函数调用__libc_start_main 完成启动和退出工作。具体看看 _start 函数: .text:0000000000401A60 public star
windows-API劫持(API-HOOK)
墨鱼菜鸡
12-18 625
API Hook ApiHook又叫做API劫持,也就是如果A程序调用了B.cll里面的C函数,我们可以做到当A调用C函数执行的时候,直接执行我们自己事先准备好的函数,之后我们在执行真正的C,当然我们可以不执行C或者更改C的参数等等,实现的核心思路就是: ...
dll 劫持和应用研究
ZL_1618的博客
08-10 655
2020年12月,SolarWinds 攻击事件引发全球的关注(),攻击团队在 2020年上旬通过对 SolarWinds Orion产品实现供应链攻击,导致诸多厂商被攻击,造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节,其中供应链攻击的实现,也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值