这是一个创建于 1936 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题, 假如进程里有函数 fun1, 再进程启动时,malloc 一页内存,拷贝 fun1 的内容到 malloc 出来的内存,称拷贝后的函数为 fun2, 调用 fun1 和 fun2 使用 不同的参数, 问 fun2 是不是可以正常执行?
考虑 fun2 是 fun1 改变了位置,如果有 jmp 指令是位置相关的,此时可不可以调整指令和字节数使得 fun2 可以正常运行直到 ret 返回。
 | 1 ng29 OP 求解 |
 | 2 Jooooooooo 2020-08-21 16:50:28 +08:00 啥意思 两个线程运行同一段代码, 入参不一样? |
| 3 ng29 OP @Jooooooooo 只有一个线程 函数代码段被 复制到另外一个地址 复制后的函数能直接用地址调用吗? |
 | 4 fasionchan 2020-08-21 16:53:26 +08:00 不行,malloc 出来的内存页是没有执行权限的。为什么呢?因为有一攻击叫栈溢出攻击。 |
 | 5 hsiang271828 2020-08-21 16:55:02 +08:00 我的理解是,fun1 的内容装载在代码段,拷贝出来的二进制放在新分配的堆中,不在代码段,寻址会出错无法运行 |
| 6 ng29 OP @fasionchan 用 set_page_protection 加上权限以后 可以吗 ? 主要考虑 里面的地址引用 是不是需要调整 以及怎么调整 |
| 7 fasionchan 2020-08-21 17:06:02 +08:00 @ng29 栈地址是通过 ebp 寄存器加上偏移量计算的,应该没影响;堆地址和静态全局变量都是完整地址,应该也没影响;而 if for 语句编译后的 jmp 指令是段内跳转,通过偏移量来进行,讲道理也不会有影响。具体你可以试试看,我好些年没做底层了,可能有错漏~ |
| 8 fasionchan 2020-08-21 17:06:45 +08:00 @ng29 不过这样做的意义何在,做实验? |
| 9 ng29 OP @hsiang271828 调用的时候,会给这段空间执行权限以及 用 拷贝后的地址作为 函数指针; 我理解理论上是可以的 我的顾虑是 代码中有 jmp 相对跳转 会不会跳转错 ,这里只能去参考 intel 的文档了。。。 |
| 10 ng29 OP @fasionchan hook 的时候, 改一些逻辑 |
| 11 ng29 OP @fasionchan 比如一样的函数,传的参数不一样 |
 | 12 hythyt9898 2020-08-21 17:10:48 +08:00 看函数实现是不是地址无关代码( PIC )了,当然了你重新调整指令也是可以的,加壳软件都有类似流程。 |
| 13 Jooooooooo 2020-08-21 17:10:54 +08:00 |
| 15 fasionchan 2020-08-21 17:13:59 +08:00 @ng29 hook 一般不是定义新函数,新函数调用就函数,程序编译时连接新函数吗?之前看过微信后台的协程库 libco 的源码,里面 hook 了所有阻塞型的系统调用,你可以参考一下: https://github.com/Tencent/libco,可能会有一些启发。 |
| 16 ng29 OP @fasionchan 如果是动态库的话,hook 是比较好操作,但是整个项目都是静态链接的,一般是用 inline hook 把旧函数的前几个字节 改成 jmp code 调到 新函数,我这里 是想 把 旧函数 挪到另外一个地方,先备份,后面调用的时候 给一个 自己修改后的 参数(修改寄存器或者栈),准备好参数后,再调用 fun2 |
 | 17 enenaaa 2020-08-21 17:21:55 +08:00 当然可以。 就是内存 patch 啊。fun2 能不能正常执行,要看里面的地址相关指令是否都能兼容新地址。一般有长跳的话需要在搬移后手动改汇编指令。 |
 | 19 mXw 2020-08-21 18:36:24 +08:00 你这个需求,需要修改内存权限才可以,rwx,相当于执行 shellcode ;参数的话就按照调用约定给进去就行。 |
 | 20 secondwtq 2020-08-21 18:58:19 +08:00 一方面是这块内存的内容允不允许被执行的问题 另一方面是这块内存的内容里面有没有对非局部地址的引用 如果有 RIP relative addressing 的话就比较麻烦 |
 | 21 liuminghao233 2020-08-21 19:08:16 +08:00 via iPhone 好像可以用 mprotect 改 x 权限 但 malloc 默认是不会给你 x 权限的 你把函数 copy 进去 带 x 权限的内存 把 rsp rbp 弄好 按照 x86 调用约定入参 rsi rdi...这些 然后直接 jmp 或者 call 就行了 |
 | 22 lniwn 2020-08-21 19:13:01 +08:00 先说结论,是可行的,不过你不能用 malloc,而要用系统的内存分配 api,比如 win32 下的 HeapCreate,指定 PAGE_EXECUTE 权限。 既然可以静态编译,那说明你已经有对应的库文件了,ida 抠出来,重新实现一遍是最简单的方式,然后 hook 原函数到新实现的函数。 |
 | 23 limboMu 2020-08-21 19:22:11 +08:00 还可以把代码段的数据拷贝到堆区执行吗?学到了,不过执行的时候参数都是会在栈区保留,唯一的区别就是如果函数内有超出函数边界的相对跳转,就有响应的,其他的情况应该没啥问题。 |
| 24 ng29 OP @liuminghao233 是这样的 不过我有一个顾虑 就是函数里面有跳转指令的时候 可能有相对位置的 不知道这样的怎么跳转 想找一个通用的方案(适用于绝大多数函数) |
| 26 ng29 OP 原来的问题 也可以改成, 拿一块 代码段 到 自己申请的内存并 变为 位置无关代码 |
| 27 liuminghao233 2020-08-21 20:55:50 +08:00 @ng29 你需要禁止编译器生成位置无关代码 再加上-mcmodel=large 比如说 g++ main.cpp -o main -fno-pie -mcmodel=large 这样你引用变量的地址是绝对地址 而不是 rip relative 的 |
 | 28 yangbonis 2020-08-21 21:53:37 +08:00 via iPhone 你是在说 dlopen 吗? |
| 29 yangbonis 2020-08-21 22:03:47 +08:00 via iPhone 或者反射? |
| 30 ng29 OP @liuminghao233 感谢 minghao 我做实验试下 |
 | 31 mingl0280 2020-08-21 22:38:41 +08:00 可行,远程线程代码注入中的一步就是这么实现的. VirtualAllocEx 分配内存同时指定 PAGE_EXECUTE_READWRITE 权限以后用 WriteProcessMemory 将编译后的函数的首地址和函数长度的内存复制到远程线程中,然后给一发 CreateRemoteThread 就可以直接在远程进程里跑你的函数了. 具体资料你完全可以参考 WINAPI 的远程代码注入. |
| 32 mingl0280 2020-08-21 22:43:28 +08:00 @ng29 函数内跳转指令不存在问题,只要你的函数内跳转指令符合以下要求: - 不指向在本程序内定义的其它函数,即跳转指令执行的都是处于共享内存区的. - 不存在可能触发 longjmp 或者其它导致函数退出的指令 另外禁止位置无关代码不会有效的,代码空间不一样了,没法跳转到你自己的内存区继续执行的. |
 | 33 pythonee 2020-08-22 14:05:30 +08:00 期待实验结果 |
| 34 ng29 OP 测试是可以的 一个函数挪动位置,修改 rip relative 的指令,将 偏移修正后 就可以正常调用了,可以作为 hook 的一种方式 总结了一下中间学的东西 http://www.oneyearago.me/2020/09/27/hook_and_internal/ |