• 关闭GS选项,解决注入后崩溃


    利用CreateRemoteThread向进程注入远程代码时,一般会有以下两种做法:

    1. 利用LoadLibrary在目标进程加载指定的DLL
    2. 将代码复制到目标进程,然后启动这段代码

    上面的第二种方法其实在使用上更加灵活。因为借用该方法,我们可以灵活地自定义函数(以下简称为启动函数)的参数。其使用流程一般为:

    • 利用VirtualAllocEx / WriteProcessMemory 将启动函数的代码复制到目标进程
    • 利用VirtualAllocEx / WriteProcessMemory 将启动函数的参数复制到目标进程
    • 调用CreateRemoteThread (..., 启动函数指针, 参数指针...)来注入远程线程

    在这种注入方式下,由于是将CODE直接从本进程(主调进程)注入到目标进程,因此这个函数的处理需要十分小心才是。

    你必须要防止在启动函数代码中引用本进程的内部资源,便如.rdata段(比如常量定义),.text段(比如内部的函数)。

    如果你没有遵守以上规则,那么启动函数被复制到目标进程并开始执行后,崩溃是必然的结果,因为这个代码引用的额外资源并不在目标进程中。

    我在实际使用过程中就遇到了以下导致崩溃的问题:

    在目标进程中用OD查看启动函数代码时,发现代码中被插入了security_cookie功能,其中包括了两个额外引用:

    1. mov eax, [security_cookie]
    2. call security_check_cookie

    第一个引用实际上是引用了本地进程的rdata段

    第二个引用实际上是引用了本地进程的text段

    如果解决这个问题呢,实际上微软在MSDN中已经给出了答案,那就是在工程的编译选项中添加以下开关:

    /GS-

    这样就完全禁止了编译器对启动函数的Guard Stack功能,关于该编译选项可以参考:

    http://msdn.microsoft.com/zh-cn/library/8dbf701c.aspx

     

     C/C++ 编译器选项

                                  -优化-

    /O1 最小化空间                          /O2 最大化速度
    /Ob 内联扩展(默认 n=0)               /Od 禁用优化(默认)
    /Og 启用全局优化                        /Oi[-] 启用内部函数
    /Os 优选代码空间                        /Ot 优选代码速度
    /Ox 最大化优化                          /Oy[-] 启用帧指针省略

                               

            -代码生成-

    /GF 启用只读字符串池                    /Gm[-] 启用最小重新生成
    /Gy[-] 分隔链接器函数                   /GS[-] 启用安全检查
    /GR[-] 启用 C++ RTTI                    /GX[-] 启用 C++ EH (与 /EHsc 相同)
    /EHs 启用 C++ EH (没有 SEH 异常)        /EHa 启用 C++ EH (w/ SEH 异常)
    /EHc 外部“C”默认为 nothrow           
    /fp: 选择浮点模式:
        except[-] - 在生成代码时考虑浮点异常
        fast -“fast”浮点模式;结果可预测性比较低
        precise -“precise”浮点模式;结果可预测
        strict -“strict” 浮点模式(意味着 /fp:except)
    即使使用 /fp:except,/Qfast_transcendentals 也生成内联内部 FP
    /GL[-] 启用链接时代码生成               /GA 为 Windows 应用程序进行优化
    /Ge 对所有函数强制堆栈检查              /Gs[num] 控制堆栈检查调用
    /Gh 启用 _penter 函数调用               /GH 启用 _pexit 函数调用
    /GT 生成纤程安全 TLS 访问               /RTC1 启用快速检查(/RTCsu)
    /RTCc 转换为较小的类型检查              /RTCs 堆栈帧运行时检查
    /RTCu 未初始化的局部用法检查           
    /clr[:option] 为公共语言运行库编译,其中 option 是:
        pure - 生成只包含 IL 的输出文件(没有本机可执行代码)
        safe - 生成只包含 IL 的可验证输出文件
        oldSyntax - 接受 Visual C++ 2002/2003 的托管扩展语法
        initialAppDomain - 启用 Visual C++ 2002 的初始 AppDomain 行为
        noAssembly - 不产生程序集           /Gd __cdecl 调用约定
    /Gr __fastcall 调用约定                 /Gz __stdcall 调用约定
    /GZ 启用堆栈检查(/RTCs)                 /QIfist[-] 使用 FIST 而不是 ftol()
    /hotpatch 确保可热修补映像的函数填充   
    /arch: CPU 结构的最低要求,为以下内容之一:
        SSE - 启用支持 SSE 的 CPU 可用的指令
        SSE2 - 启用支持 SSE2 的 CPU 可用的指令
    /Qimprecise_fwaits 仅在“try”边界上生成 FWAITs,而不是“try”内部

                                  -输出文件-

    /Fa[file] 命名程序集列表文件            /FA[scu] 配置程序集列表
    /Fd[file] 命名 .PDB 文件                /Fe 命名可执行文件
    /Fm[file] 命名映射文件                  /Fo 命名对象文件
    /Fp 命名预编译头文件              /Fr[file] 命名源浏览器文件
    /FR[file] 命名扩展 .SBR 文件           
    /doc[file] 处理 XML 文档注释,并可选择命名 .xdc 文件

                                  -预处理器-

    /AI

    添加到程序集搜索路径           /FU 强制使用程序集/模块
    /C 不抽出注释                           /D{=|#} 定义宏
    /E 将预处理定向到 stdout                /EP 预处理到标准输出,没有 #line
    /P 预处理到文件                         /Fx 将插入的代码合并到文件中
    /FI 命名强制包含文件              /U 移除预定义的宏
    /u 移除所有预定义的宏                   /I
    添加到包含搜索路径
    /X 忽略“标准位置”                   

                                    -语言-

    /Zi 启用调试信息                        /Z7 启用旧式调试信息
    /Zp[n] 在 n 字节边界上包装结构          /Za 禁用扩展
    /Ze 启用扩展(默认)                      /Zl 忽略 .OBJ 中的默认库名
    /Zg 生成函数原型                        /Zs 只进行语法检查
    /vd{0|1|2} 禁用/启用 vtordisp           /vm 指向成员的指针类型
    /Zc:arg1[,arg2] C++ 语言合规性,这里的参数可以是:
        forScope[-] - 对范围规则强制使用标准 C++
        wchar_t[-] - wchar_t 是本机类型,不是 typedef
    /ZI 启用“编辑并继续”调试信息          /openmp 启用 OpenMP 2.0 语言扩展

                                  - 杂项 -

    @ 选项响应文件                    /?, /help 打印此帮助消息
    /bigobj 生成扩展的对象格式              /c 只编译,不链接
    /errorReport:option 将内部编译器错误报告给 Microsoft
        none - 不发送报告                       prompt - 提示立即发送报告
        queue - 在下一次管理员登录时,提示发送报告(默认)
        send - 自动发送报告                 /FC 诊断中使用完整路径名
    /H 最大外部名称长度                /J 默认 char 类型是 unsigned
    /MP[n] 最多使用“n”个进程进行编译      /nologo 取消显示版权消息
    /showIncludes 显示包含文件名            /Tc 将文件编译为 .c
    /Tp 将文件编译为 .cpp      /TC 将所有文件编译为 .c
    /TP 将所有文件编译为 .cpp               /V 设置版本字符串
    /w 禁用所有警告                         /wd 禁用警告 n
    /we 将警告 n 视为错误                /wo 发出一次警告 n
    /w 为 n 设置警告等级 1-4          /W 设置警告等级(默认 n=1)
    /Wall 启用所有警告                      /WL 启用单行诊断
    /WX 将警告视为错误                      /Yc[file] 创建 .PCH 文件
    /Yd 将调试信息放在每个 .OBJ 中          /Yl[sym] 为调试库插入 .PCH 引用
    /Yu[file] 使用 .PCH 文件                /Y- 禁用所有 PCH 选项
    /Zm 最大内存分配(默认为 %)           /Wp64 启用 64 位端口定位警告

                                    -链接-

    /LD 创建 .DLL                           /LDd 创建 .DLL 调试库
    /LN 创建 .netmodule                     /F 设置堆栈大小
    /link [链接器选项和库]                  /MD 与 MSVCRT.LIB 链接
    /MT 与 LIBCMT.LIB 链接                  /MDd 与 MSVCRTD.LIB 调试库链接
    /MTd 与 LIBCMTD.LIB 调试库链接      

                             -代码分析-

    /analyze[:WX-] 启用代码分析            
        WX- - 即使调用了 /WX,也不应将代码分析警告视为错误

  • 相关阅读:
    Service(服务)简单使用
    Android设计模式——抽象工厂方法模式
    Android设计模式——工厂方法模式
    算法问题——递归算法
    Android设计模式——Builder(建造者)模式
    Android设计模式——单例模式
    蓝牙4.0权限问题
    Android 网络状态变化的监听
    RecyclerView的使用
    函数参数的引用传递与值传递
  • 原文地址:https://www.cnblogs.com/Browneyes/p/4913588.html
Copyright © 2020-2023  润新知