我正在使用 CreateRemoteProcess 将一些汇编程序代码注入(inject)远程进程(64 位)，然后加载一个 dll，但我在 LoadLibraryA 中得到一个 C0000005 EXCEPTION_ACCESS_VIOLATION 用于加载我的 .dll 文件的调用。

这里是注入(inject)的汇编代码(下面截图中的地址不同，但这些是相对于写入前的远程内存地址计算的):

MOV RCX,2A0DFF0020
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
MOV RCX,RAX
MOV RDX,2A0DFF0030
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0010],RAX
MOV RCX,2A0DFF0040
MOV RAX,<kernel32.LoadLibraryA>
CALL RAX
CMP RAX,0
JNZ 2A0DFF024D
XOR CL,CL
MOV RDX,2A0DFF00C0
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV QWORD PTR DS:[2A0DFF0000],RAX
MOV RCX,RAX
MOV RDX,2A0DFF00A0
MOV RAX,<kernel32.GetProcAddress>
CALL RAX
CMP RAX,0
JNZ 2A0DFF02A7
XOR CL,CL
MOV RDX,2A0DFF0140
MOV R8,2A0DFF00B0
MOV CL,10
MOV RAX,QWORD PTR DS:[2A0DFF0010]
CALL RAX
XOR CL,CL
MOV RAX,<kernel32.FatalExit>
CALL RAX
MOV RCX,2A0DFF0000
XOR DL,DL
MOV RAX,<kernel32.FreeLibraryAndExitThread>
CALL RAX  

Here是 CALL 崩溃之前的寄存器和内存的屏幕截图(以及突出显示的汇编代码!)和 here是实际崩溃的截图

我现在正尝试注入(inject)的完整 Dll(只是一个测试):

#include <windows.h>
__declspec(dllexport) void init(void)
{
    return;
}


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    return TRUE;
}

我使用以下命令用最新的 tcc 64 位编译了 dll:

tcc -o "test.dll"-shared testdll.c

这是注入(inject)代码，我去掉了所有的错误处理:

//AlignedStream is a stream wrapper that supports aligning memory,
//in this case to 16 Byte borders
data = new AlignedStream(new MemoryStream());

//adding the strings to the stream (using Encoding.ASCII.GetBytes)

System.Diagnostics.Process.EnterDebugMode();

var process = Interop.OpenProcess
(
    Interop.ProcessAccessFlags.CreateThread |
    Interop.ProcessAccessFlags.VirtualMemoryOperation |
    Interop.ProcessAccessFlags.VirtualMemoryWrite |
    Interop.ProcessAccessFlags.QueryInformation |
    Interop.ProcessAccessFlags.QueryLimitedInformation,
    false,
    processId
);

var asmsize = GetAsmSize();
var RemoteMemory = Interop.VirtualAllocEx(
    process,
    IntPtr.Zero,
    new UIntPtr((ulong)asmsize + (ulong)data.Length),
    Interop.AllocationType.Commit | Interop.AllocationType.Reserve,
    Interop.MemoryProtection.ExecuteReadWrite
);

//Adding the assembler to the stream (as raw bytes in code)

var bytes = data.ToArray();

var oldProtect = Interop.VirtualProtectEx
(
    process,
    RemoteMemory,
    new UIntPtr((ulong)bytes.LongLength),
    Interop.MemoryProtection.ExecuteReadWrite
);

var written = Interop.WriteProcessMemory
(
    process,
    RemoteMemory,
    bytes,
    new UIntPtr((ulong)bytes.LongLength)
);

Interop.VirtualProtectEx
(
    process,
    RemoteMemory,
    new UIntPtr((ulong)bytes.LongLength),
    oldProtect
);

Interop.FlushInstructionCache
(
    process, 
    RemoteMemory,
    new UIntPtr((ulong)bytes.LongLength)
);

var thread = Interop.CreateRemoteThread
(
    process,
    IntPtr.Zero,
    UIntPtr.Zero,
    IntPtr.Add(RemoteMemory, asmOffset),
    IntPtr.Zero,
    Interop.ThreadCreation.Default
);
var result = Interop.WaitForSingleObject(thread, Interop.INFINITE);

Interop.VirtualFreeEx
(
    process, 
    RemoteMemory, 
    UIntPtr.Zero, 
    Interop.FreeType.Release
);

System.Diagnostics.Process.LeaveDebugMode();

Interop.CloseHandle(process);

我确保 .dll、目标进程和注入(inject)器都是 64 位的，并且注入(inject)器以管理员权限运行。当使用仅调用 LoadLibrary 的测试项目加载 dll 时，dll 加载正常。

我试图解决的问题:

• 我尝试改用 LoadLibraryW，但它在同一点崩溃(从我在调试器中看到的情况来看，LoadLibraryA 实际上在某个时刻调用了 LoadLibraryExW，就像 LoadLibraryW 一样)。

• 我之前发现的所有类似问题都归结为数据未写入目标进程，但正如您在屏幕截图中看到的那样，它肯定存在。

• 我尝试使用不同的进程，看看它是否特定于记事本，因为它在系统目录中，但没有成功。

• 我尝试使用用 vc++ 构建的 dll

我完全没有想法。也许这是我无法找到的汇编代码中的一个简单错误(对汇编程序非常缺乏经验)。为什么会发生这种崩溃，可以采取哪些措施来防止这种崩溃？

最佳答案

您没有遵循标准调用约定。特别是但不限于，您没有对齐堆栈，因此对齐的 SSE 移动指令 MOVAPS 在 LoadLibrary 函数内出错。要解决眼前的问题，您可以在代码开头执行 AND RSP, -16。您还可以添加标准函数序言 (PUSH RBP; MOV RBP, RSP) 和结尾 (MOV RSP, RBP; POP RBP; RET)。

然而，您应该注意遵循 calling convention 的所有特性。 (例如为参数分配溢出空间)以创建适当的代码，而不仅仅是恰好有效的代码。

关于c# - LoadLibrary 内部的访问冲突，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/30292779/