10.3 调试事件转存进程内存

调试,事件,转存,进程,内存 · 浏览次数 : 7

小编点评

**标题:内存转储:从文件读取到磁盘** **排版:** **1. 介绍** * 概述内存转储的目的 * 介绍内存文件格式 * 介绍PE头和NT头结构 **2. 读文件数据** * 使用 `ReadProcessMemory()` 读取文件数据 * 设置文件读取的起始地址 * 设置文件对齐方式 **3. 设置文件入口地址** * 使用 `pSec->PointerToRawData` 获取节区首地址 * 设置文件入口地址 **4. 写入文件数据** * 使用 `WriteFile()` 写入文件数据 * 设置文件大小 **5. 关闭文件** * 使用 `CloseHandle()` 关闭文件 * 释放资源 **6. 输出结果** * 将读取到的文件数据输出到磁盘中 * 输出效果 **7. 示例代码** ```c++ // 内存转储程序 #include #include #include #include using namespace std; int main() { // 文件路径 string file_path = "my_file.bin"; // 打开文件 ifstream file(file_path, ios::binary); // 获取文件大小 int file_size = file.size(); // 创建文件 ofstream output(file_path, ios::binary); // 写文件数据 output.write(file.read()); // 关闭文件 file.close(); // 输出结果 cout << "文件已转存到:" << file_path << endl; return 0; } ``` **8. 版权声明** 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

正文

我们继续延申调试事件的话题,实现进程转存功能,进程转储功能是指通过调试API使获得了目标进程控制权的进程,将目标进程的内存中的数据完整地转存到本地磁盘上,对于加壳软件,通常会通过加密、压缩等手段来保护其代码和数据,使其不易被分析。在这种情况下,通过进程转储功能,可以将加壳程序的内存镜像完整地保存到本地,以便进行后续的分析。

在实现进程转储功能时,主要使用调试API和内存读写函数。具体实现方法包括:以调试方式启动目标进程,将其暂停在运行前的位置;让目标进程进入运行状态;使用ReadProcessMemory函数读取目标进程内存,并将结果保存到缓冲区;将缓冲区中的数据写入文件;关闭目标进程的调试状态。

首先老样子先来看OnException回调事件,当进程被断下时首先通过线程函数恢复该线程的状态,在进程被正确解码并运行起来时直接将该进程的EIP入口地址传递给MemDump();内存转存函数,实现转存功能;

void OnException(DEBUG_EVENT *pDebug, BYTE *bCode)
{
    CONTEXT context;
    DWORD dwNum;
    BYTE bTmp;

    // 打开当前进程与线程
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pDebug->dwProcessId);
    printf("[+] 当前打开进程句柄: %d 进程PID: %d \n", hProcess, pDebug->dwProcessId);
    HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pDebug->dwThreadId);
    printf("[+] 当前打开线程句柄: %d 线程PPID: %d \n", hThread, pDebug->dwThreadId);
    // 暂停当前线程
    SuspendThread(hThread);

    // 读取出异常产生的首地址
    ReadProcessMemory(hProcess, pDebug->u.Exception.ExceptionRecord.ExceptionAddress, &bTmp, sizeof(BYTE), &dwNum);
    printf("[+] 当前异常产生地址为: 0x%08X \n", pDebug->u.Exception.ExceptionRecord.ExceptionAddress);

    // 设置当前线程上下文,获取线程上下文
    context.ContextFlags = CONTEXT_FULL;
    GetThreadContext(hThread, &context);

    printf("[-] 恢复断点前: EAX = 0x%08X  EIP = 0x%08X \n", context.Eax, context.Eip);
    // 将刚才的CC断点取消,也就是回写原始的指令集
    WriteProcessMemory(hProcess, pDebug->u.Exception.ExceptionRecord.ExceptionAddress, bCode, sizeof(BYTE), &dwNum);

    // 当前EIP减一并设置线程上下文
    context.Eip--;
    SetThreadContext(hThread, &context);
    printf("[+] 恢复断点后: EAX = 0x%08X  EIP = 0x%08X \n", context.Eax, context.Eip);
    printf("[+] 获取到动态入口点: 0x%08x \n", pDebug->u.CreateProcessInfo.lpBaseOfImage);
    // 转储内存镜像
    MemDump(pDebug, context.Eip, (char *)"dump.exe");
    // 恢复线程
    ResumeThread(hThread);
    CloseHandle(hThread);
    CloseHandle(hProcess);
}

MemDump函数中,首先通过调用CreateFile函数打开me32.szExePath路径也就是转存之前的文件,通过使用VirtualAlloc分配内存空间,分配大小是PE头中文件实际大小,接着OpenProcess打开正在运行的进程,并使用ReadProcessMemory读取文件的数据,此处读取的实在内存中的镜像数据,当读取后手动修正,文件的入口地址,及文件的对齐方式,接着定位PE节区数据,找到节区首地址,并循环将当前节区数据赋值到新文件缓存中,最后当一切准备就绪,通过使用WriteFile函数将转存后的文件写出到磁盘中;

void MemDump(DEBUG_EVENT *pDe, DWORD dwEntryPoint, char *DumpFileName)
{
    // 得到当前需要操作的进程PID
    DWORD dwPid = pDe->dwProcessId;
    MODULEENTRY32 me32;

    // 对系统进程拍摄快照
    HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPid);

    me32.dwSize = sizeof(MODULEENTRY32);
    // 得到第一个模块句柄,第一个模块句柄也就是程序的本体
    BOOL bRet = Module32First(hSnap, &me32);
    printf("[+] 当前转储原程序路径: %s \n", me32.szExePath);

    // 打开源文件,也就是dump之前的文件
    HANDLE hFile = CreateFile(me32.szExePath, GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
    if (hFile == INVALID_HANDLE_VALUE)
        exit(0);

    // 判断PE文件的有效性
    IMAGE_DOS_HEADER imgDos = { 0 };
    IMAGE_NT_HEADERS imgNt = { 0 };

    DWORD dwReadNum = 0;

    // 读入当前内存程序的DOS头结构
    ReadFile(hFile, &imgDos, sizeof(IMAGE_DOS_HEADER), &dwReadNum, NULL);
    // 判断是否是一个合格的DOS头
    if (imgDos.e_magic != IMAGE_DOS_SIGNATURE)
        return;
    // 设置文件指针到NT头上
    SetFilePointer(hFile, imgDos.e_lfanew, 0, FILE_BEGIN);
    ReadFile(hFile, &imgNt, sizeof(IMAGE_NT_HEADERS), &dwReadNum, NULL);
    // 判断是否是合格的NT头
    if (imgNt.Signature != IMAGE_NT_SIGNATURE)
        return;

    // 得到EXE文件的大小
    DWORD BaseSize = me32.modBaseSize;
    printf("[+] 当前内存文件大小: %d --> NT结构原始大小: %d 一致性检测: True \n", BaseSize, imgNt.OptionalHeader.SizeOfImage);

    // 如果PE头中的大小大于实际内存大小,则以PE头中大小为模板
    if (imgNt.OptionalHeader.SizeOfImage > BaseSize)
    {
        BaseSize = imgNt.OptionalHeader.SizeOfImage;
    }

    // 分配内存空间,分配大小是PE头中文件实际大小,并打开进程
    LPVOID pBase = VirtualAlloc(NULL, BaseSize, MEM_COMMIT, PAGE_READWRITE);
    printf("[+] 正在分配转储空间 句柄: %d \n", pBase);

    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);

    // 读取文件的数据,此处读取的实在内存中的镜像数据
    bRet = ReadProcessMemory(hProcess, me32.modBaseAddr, pBase, me32.modBaseSize, NULL);

    // 判断PDOS头的有效性
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pBase;
    if (pDos->e_magic != IMAGE_DOS_SIGNATURE)
        return;

    // 计算出NT头数据
    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + (PBYTE)pBase);
    if (pNt->Signature != IMAGE_NT_SIGNATURE)
        return;

    // 设置文件的入口地址
    pNt->OptionalHeader.AddressOfEntryPoint = dwEntryPoint - pNt->OptionalHeader.ImageBase;
    printf("[*] 正在设置Dump文件相对RVA入口地址: 0x%08X \n", pNt->OptionalHeader.AddressOfEntryPoint);

    // 设置文件的对齐方式
    pNt->OptionalHeader.FileAlignment = 0x1000;
    printf("[*] 正在设置Dump文件的对齐值: %d \n", pNt->OptionalHeader.FileAlignment);

    // 找到节区首地址,并循环将当前节区数据赋值到新文件缓存中
    PIMAGE_SECTION_HEADER pSec = (PIMAGE_SECTION_HEADER)((PBYTE)&pNt->OptionalHeader + pNt->FileHeader.SizeOfOptionalHeader);
    for (int i = 0; i < pNt->FileHeader.NumberOfSections; i++)
    {
        pSec->PointerToRawData = pSec->VirtualAddress;
        printf("[+] 正在将虚拟地址: 0x%08X --> 设置到文件地址: 0x%08X \n", pSec->VirtualAddress, pSec->PointerToRawData);
        pSec->SizeOfRawData = pSec->Misc.VirtualSize;
        printf("[+] 正在将虚拟大小: %d --> 设置到文件大小: %d \n", pSec->Misc.VirtualSize, pSec->SizeOfRawData);
        pSec++;
    }
    CloseHandle(hFile);

    // 打开转储后的文件.
    hFile = CreateFile(DumpFileName, GENERIC_WRITE, FILE_SHARE_READ, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);
    if (hFile == INVALID_HANDLE_VALUE)
        exit(0);
    printf("[*] 转储 %s 文件到本地 \n", DumpFileName);

    DWORD dwWriteNum = 0;

    // 将读取的数据写入到文件
    bRet = WriteFile(hFile, pBase, me32.modBaseSize, &dwWriteNum, NULL);
    if (dwWriteNum != me32.modBaseSize || FALSE == bRet)
        printf("写入错误 !");
    // 关闭于释放资源
    CloseHandle(hFile);
    VirtualFree(pBase, me32.modBaseSize, MEM_RELEASE);
    CloseHandle(hProcess);
    CloseHandle(hSnap);
}

读者可自行运行这段程序,当程序运行后即可将指定的一个文件内存数据完整的转存到磁盘中,输出效果如下图所示;

本文作者: 王瑞
本文链接: https://www.lyshark.com/post/5e2f7b11.html
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

与10.3 调试事件转存进程内存相似的内容:

10.3 调试事件转存进程内存

我们继续延申调试事件的话题,实现进程转存功能,进程转储功能是指通过调试API使获得了目标进程控制权的进程,将目标进程的内存中的数据完整地转存到本地磁盘上,对于加壳软件,通常会通过加密、压缩等手段来保护其代码和数据,使其不易被分析。在这种情况下,通过进程转储功能,可以将加壳程序的内存镜像完整地保存到本...

.NET周报【10月第3期 2022-10-25】

国内文章 聊一聊被 .NET程序员 遗忘的 COM 组件 https://www.cnblogs.com/huangxincheng/p/16799234.html 将Windows编程中经典的COM组件拿出来再复习一下,解释了COM组件互相调用的原理。 使用 C# 开发的轻量级开源数据库 Lite

【Azure Function】修改Function执行的Timeout时间

问题描述 Azure Function默认的Timeout时间是否可以调整呢? 问题解答 可以的,根据创建Function的时候选择的定价层不同,Function 默认的Timeout时间也不同。 消耗层的 functionTineout默认是5分钟,最大可修改为10分钟 高级和专用计划的默认值为3

乐高式扩展:在Seal软件供应链防火墙中轻松集成代码规范工具

上个月,Seal 软件供应链防火墙 v0.2(以下简称“Seal”)正式发布,这一版本实现了可扩展架构,用户可以根据自身需求插件式集成原生或第三方解决方案,灵活扩展扫描能力。 在前一个版本中,Seal 集成了 SCA、SAST 和配置检查等功能,在这一架构中最大的优势是调试方便、调用链路短,但同时也

[转帖]initdb 简介

https://www.cnblogs.com/ctypyb2002/p/9793041.html 写总结前 要看完整呢 不能太随意. os:centos 6.8postgresql:10.3 查看initdb的参数 $ /usr/pgsql-10/bin/initdb --help initdb

python基础环境

刚开始接触并学习一门开发语言,带着不求甚解的想法,其实也挺有好处的:我并不是所有的东西都知道,但是代码跑起来了。 但是时间久了,还是带着这种想法,可能就会遇到一些棘手的问题。比如电脑上不知不觉已经安装了多个python版本,python3.8/3.10/3.11,甚至一些软件中也集成有python解

leetcode 将有序数组转换为二叉搜索树

给你一个整数数组 nums ,其中元素已经按 升序 排列,请你将其转换为一棵 高度平衡 二叉搜索树。 高度平衡 二叉树是一棵满足「每个节点的左右两个子树的高度差的绝对值不超过 1 」的二叉树。 示例 1: 输入:nums = [-10,-3,0,5,9] 输出:[0,-3,9,-10,null,5]

[转帖]vm内核参数之缓存回收drop_caches

注:本文分析基于3.10.0-693.el7内核版本,即CentOS 7.4 1、关于drop_caches 通常在内存不足时,我们习惯通过echo 3 > /proc/sys/vm/drop_caches 的方式手动清理系统缓存, [root@localhost ~]# free -m total

[转帖]IDM UltraCompare Professional 22.10.0.3破解版

https://www.ittel.cn/archives/7834.html IDM UltraCompare Professional破解版是功能强大的文件比较/合并工具,提供一系列的文件、文本文档、文件夹等的对比比较,轻松获得准确的报告,支持对比压缩文件和jar文件,支持两个以及三个文件比较,

linux 4.19 ip重组

IP重组 ip重组这部分 4.19内核与3.10内核有些差别,4.9.134以后内核中不使用低水位和工作队列了,同时使用了rhashtable 替代了 hash bucket的概念,在3.10内核中使用1024个hash bucket, 每个bucket中最多存放128个分片队列,在4.19内核中所