如何提取 x64 程序那些易失的方法参数

如何,提取,x64,程序,那些,方法,参数 · 浏览次数 : 971

小编点评

**总结** 文章分享了对 Child-SP 和 KERNELBASE!LocalFree 方法中 rsp 的分析,结果表明 rsp 指向的是方法的返回地址 RIP 的位置。文章还提供了详细的汇编代码分析,帮助用户理解 Child-SP 和 KERNELBASE!LocalFree 方法中 rsp 的关系。 **主要分析** * Child-SP 是子方法中第一个参数的位置。 * KERNELBASE!LocalFree 方法的 RSP 指向的是方法的返回地址 RIP 的位置。 * rsp + 0x8 = Child-SP - 0x8 + 0x8 = Child-SP。 **结论** 文章中展示了如何分析 Child-SP 和 KERNELBASE!LocalFree 方法中 rsp 的关系,并提供了详细的汇编代码分析帮助用户理解这些方法的行为。

正文

一:背景

1. 讲故事

最近经常遇到有朋友反馈,在 x64 环境下如何提取线程栈中的方法参数,熟悉 x64 调用协定的朋友应该知道,这种协定范围下,方法的前四个参数都是用寄存器传递的,比如rcx,rdx,r8d,r9d 四个寄存器,由于寄存器存值的临时性,它的值容易被后面的逻辑给征用了,那这种情况下还有没有办法提取出来呢? 说实话,全靠运气,为什么这么说呢? 如果这个在方法的栈初始化过程中有临时的保存在线程栈中的话,那恭喜你,可以成功给捞出来。

接下来通过一个小案例来深入的聊一下。

二:案例分析

1. 一个案例演示

为了方便讲述,这里我用 Marshal 在 ntheap 上分配堆块,然后提取 Marshal.FreeHGlobal 方法的用户句柄,参考代码如下:


        static void Main(string[] args)
        {
            //1. 分配 堆块
            IntPtr ptr = Marshal.AllocHGlobal(sizeof(int));
            Console.WriteLine("ptr= 0x{0:X2}", ptr);

            //2. 写入数据
            var num = int.MaxValue;
            Marshal.WriteInt32(ptr, num);
            Console.WriteLine("num 已写入 ptr= 0x{0:X2} 堆块", ptr);
            Debugger.Break();

            //3. 释放 堆块
            Marshal.FreeHGlobal(ptr);
            Console.WriteLine("ptr= 0x{0:X2} 堆块成功释放", ptr);
        }

熟悉 ntheap 的朋友都知道,如果在调试的环境下使用 FreeHGlobal 方法会命中底层的 ntdll!RtlpValidateHeap 方法,只要在这地方下个断点即可,参考代码如下:


0:000> bp ntdll!RtlpValidateHeap
0:000> g
Breakpoint 0 hit
ntdll!RtlpValidateHeap:
00007ffe`8e92a784 48895c2410      mov     qword ptr [rsp+10h],rbx ss:00000021`2037e078=00007ffd00000000
0:000> k 10
 # Child-SP          RetAddr               Call Site
00 00000021`2037e068 00007ffe`8e9295f5     ntdll!RtlpValidateHeap
01 00000021`2037e070 00007ffe`8e855cc1     ntdll!RtlDebugFreeHeap+0x99
02 00000021`2037e0d0 00007ffe`8e855b74     ntdll!RtlpFreeHeap+0xc1
03 00000021`2037e280 00007ffe`8e8547b1     ntdll!RtlpFreeHeapInternal+0x464
04 00000021`2037e340 00007ffe`8c33934f     ntdll!RtlFreeHeap+0x51
05 00000021`2037e380 00007ffd`d4af5c7c     KERNELBASE!LocalFree+0x2f
06 00000021`2037e3c0 00007ffd`7b132a10     System_Private_CoreLib!System.Runtime.InteropServices.Marshal.FreeHGlobal+0x4c [/_/src/libraries/System.Private.CoreLib/src/System/Runtime/InteropServices/Marshal.Windows.cs @ 144] 
07 00000021`2037e490 00007ffd`dacaae93     Example_18_1_1!Example_18_1_1.Program.Main+0xd0 [D:\skyfly\18.20230322\src\Example\Example_18_1_1\Program.cs @ 21] 
...

从代码中可以看到当释放堆块时果然调用了这个函数,接下来有一个需求,我想知道 KERNELBASE!LocalFree 第一个参数到底是什么,有朋友肯定想说,你可以取 rcx 寄存器呀,但不要忘了,此时代码都跑到 ntdll!RtlpValidateHeap 方法了, rcx 中的值早就被其他方法给覆盖了,那怎么办呢?

2. 还有希望吗

有没有希望真的看运气了,这时候要详细观察 KERNELBASE!LocalFree 方法入口处的汇编代码,看下它有没有将 rcx 保存在栈中,如果真的有保存到栈中,那就万幸了,有了思路之后说干就干。


0:000> u KERNELBASE!LocalFree
KERNELBASE!LocalFree:
00007ffe`8c339320 48895c2410      mov     qword ptr [rsp+10h],rbx
00007ffe`8c339325 4889742418      mov     qword ptr [rsp+18h],rsi
00007ffe`8c33932a 48894c2408      mov     qword ptr [rsp+8],rcx
00007ffe`8c33932f 57              push    rdi
00007ffe`8c339330 4883ec30        sub     rsp,30h
00007ffe`8c339334 488bd9          mov     rbx,rcx
00007ffe`8c339337 f6c308          test    bl,8
00007ffe`8c33933a 753f            jne     KERNELBASE!LocalFree+0x5b (00007ffe`8c33937b)

从汇编代码看真的很万幸,代码将 rcx 保存到了 rsp+8 的栈位置,接下来急需要知道这里的 rsp+8 指的是哪一块内存地址?

3. rsp+8 到底指向哪里

在 x64 平台下,为了最大化的利用寄存器,方法栈帧使用一个 rsp 来标记栈空间,而不像 32bit 平台用 ebpesp 两个寄存器来联合承载,参考 k 命令输出。


0:000> k 8
 # Child-SP          RetAddr               Call Site
00 00000021`2037e068 00007ffe`8e9295f5     ntdll!RtlpValidateHeap
01 00000021`2037e070 00007ffe`8e855cc1     ntdll!RtlDebugFreeHeap+0x99
02 00000021`2037e0d0 00007ffe`8e855b74     ntdll!RtlpFreeHeap+0xc1
03 00000021`2037e280 00007ffe`8e8547b1     ntdll!RtlpFreeHeapInternal+0x464
04 00000021`2037e340 00007ffe`8c33934f     ntdll!RtlFreeHeap+0x51
05 00000021`2037e380 00007ffd`d4af5c7c     KERNELBASE!LocalFree+0x2f
06 00000021`2037e3c0 00007ffd`7b132a10     System_Private_CoreLib!System.Runtime.InteropServices.Marshal.FreeHGlobal+0x4c [/_/src/libraries/System.Private.CoreLib/src/System/Runtime/InteropServices/Marshal.Windows.cs @ 144] 
07 00000021`2037e490 00007ffd`dacaae93     Example_18_1_1!Example_18_1_1.Program.Main+0xd0 [D:\skyfly\18.20230322\src\Example\Example_18_1_1\Program.cs @ 21] 

接下来的问题是: Child-SP 和 KERNELBASE!LocalFree 方法中的 rsp 到底是什么关系? 要回答这个问题,需要非常清楚 Child-SP 是如何标记栈帧的,画个图如下:

从图中可以清晰的看到:Child-SP 标记的是子方法中第一个参数的位置,而方法入口处的 RSP 指向的是该方法的返回地址 RIP 的位置,比 Child-SP 小一个指针单元。

有朋友可能要问为什么是 RIP 的位置,这是因为汇编的 call 指令会隐式的如下执行。


PUSH RIP
SUB ESP,8

有了这些基础之后,接下来就好办了,计算公式为:

rsp = Child-SP - 0x8

那么 rsp + 0x8 = Child-SP - 0x8 + 0x8 = Child-SP = 000000212037e3c0,接下来用 windbg 来验证下。


0:000> dp 000000212037e3c0 L1
00000021`2037e3c0  00000141`a81f1f20
0:000> !heap -x 00000141`a81f1f20
Entry             User              Heap              Segment               Size  PrevSize  Unused    Flags
-------------------------------------------------------------------------------------------------------------
00000141a81f1f10  00000141a81f1f20  00000141a8100000  00000141a8100000        40        90        3c  busy extra fill 

大家再回头看下 Console 界面的输出,果然就是我苦苦寻求的 ptr= 0x141A81F1F20 地址。

三:总结

这是一篇非常有用的经验分享帖,相信你在dump分析中肯定会用的上,总的来说,由于方法参数是通过寄存器传递的,能不能成功捞取需要你仔细观察汇编代码才能知道。

世间美好,相信的人都能得到。

图片名称

与如何提取 x64 程序那些易失的方法参数 相似的内容:

如何提取 x64 程序那些易失的方法参数

一:背景 1. 讲故事 最近经常遇到有朋友反馈,在 x64 环境下如何提取线程栈中的方法参数,熟悉 x64 调用协定的朋友应该知道,这种协定范围下,方法的前四个参数都是用寄存器传递的,比如rcx,rdx,r8d,r9d 四个寄存器,由于寄存器存值的临时性,它的值容易被后面的逻辑给征用了,那这种情况下

FreeSWITCH使用soundtouch进行变声

操作系统 :CentOS 7.6_x64 FreeSWITCH版本 :1.10.9 FreeSWITCH里面有个mod_soundtouch模块,支持通话实时变声,今天整理下CentOS 7环境下如何使用soundtouch进行实时变声,并提供相关效果演示及资源下载。 我将从以下几个方面进行展开:

驱动开发:内核测试模式过DSE签名

微软在`x64`系统中推出了`DSE`保护机制,DSE全称`(Driver Signature Enforcement)`,该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证,当驱动程序被加载到内存时会验证签名的正确性,如果签名不正常则系统会拒绝运行驱动,这种机制也被称为驱动强制签名,该机制的作用是保护系统免受恶意软件的破坏,是提高系统安全性的一种手段

[转帖]Jmeter正则提取器常用的几种方式

https://www.cnblogs.com/a00ium/p/10483741.html 使用jmeter的同学都知道,jmeter提供了各种各样的提取器,如jsonpath、Beanshell、Xpath、正则等!!! 我们就针对正则提取器如何使用进行说明。 举例说明:假设取sessionId

如何在填报场景中使用数据绑定获取数据源

背景 在公司的日常业务中,存在不少数据的收集提取需求,大部分公司会采取Excel来完成数据的收集和汇总,但这项工作会让负责信息收集的业务人员相当头大。虽然提前做好了数据收集模板,但最终提交上来的模板会被修改的五花八门,信息填写错误率比较高,无法实现信息填写不完整不允许提交的约束。后期的数据汇总虽然可

提取关键词作为标题---Java调用Python实现

[TOC] # 前景提示 * 一个朋友参加面试,在成都面的一家,问我如何给一篇没有标题的文章取个标题,是根据内容分析内容,然后获取标题,写个程序让程序分析内容,提炼出一个最适合的标题. * 提示:先找出高频率的关键词,然后再根据段首段尾段中的不同权重结合同一个关键词出现的频率来综合判断,最后取一个权

关于如何解决visualc++6.0打开文件闪退的一种方式(附带解决输入法无法显示)

这里我把VisualC++6.0安装程序和filetool分享在我的网盘里面了 网盘下载QAQ 链接:https://pan.baidu.com/s/1azSMX_cOKgb64WT7-gTdbQ?pwd=ayxs 提取码:ayxs 下载后解压文件,运行filetool.exe 进入Visual c

如何使用Java创建数据透视表并导出为PDF

摘要:本文由葡萄城技术团队原创并首发。转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 前言 数据透视分析是一种强大的工具,可以帮助我们从大量数据中提取有用信息并进行深入分析。而在Java开发中,可以借助PivotTable,通过数据透视分析揭示数据中的隐藏

NodeJS 实战系列:DevOps 尚未解决的问题

本文将通过展示 NodeJS 应用里环境变量的提取过程,来一窥 DevOps 技术是如何应用在现在云平台上的运维工作中的。同时我也想让大家在这里看到 DevOps 的另外一面,即它并非全能,从本地开发到持续部署再到实际运行,有一些运维鸿沟依然还未被填平。“人工操作”依然是工作中的最大风险。

基于百度智能云的OCR接口进行图文识别

由于一些客户的内部系统需要提取一些记录信息,如果手工录入会变得比较麻烦,因此考虑使用百度云的OCR进行图片文字的提取处理,综合比较了一下开源免费的Tesseract 类库进行处理,不过识别效果不太理想,因此转为了百度的OCR云接口处理方式,测试的效果比较理想,基本上较少出现错别字。本篇随笔介绍如何利用百度OCR进行图片文字的提取处理,以便从别的系统中批量化获得响应的系统数据,然后进行相应的格式化处