成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

如何提取 x64 程序那些易失的方法參數

作者:一線碼農聊技術
開發 前端
這是一篇非常有用的經驗分享帖,相信你在dump分析中肯定會用的上,總的來說,由于方法參數是通過寄存器傳遞的,能不能成功撈取需要你仔細觀察匯編代碼才能知道。

?一:背景

1. 講故事

最近經常遇到有朋友反饋,在 x64 環境下如何提取線程棧中的方法參數,熟悉 x64 調用協定的朋友應該知道,這種協定范圍下,方法的前四個參數都是用寄存器傳遞的,比如rcx,rdx,r8d,r9d 四個寄存器,由于寄存器存值的臨時性,它的值容易被后面的邏輯給征用了,那這種情況下還有沒有辦法提取出來呢?說實話,全靠運氣,為什么這么說呢?如果這個在方法的棧初始化過程中有臨時的保存在線程棧中的話,那恭喜你,可以成功給撈出來。

接下來通過一個小案例來深入的聊一下。

二:案例分析

1. 一個案例演示

為了方便講述,這里我用 Marshal? 在 ntheap 上分配堆塊,然后提取 Marshal.FreeHGlobal 方法的用戶句柄,參考代碼如下:

static void Main(string[] args)
        {
            //1. 分配 堆塊
            IntPtr ptr = Marshal.AllocHGlobal(sizeof(int));
            Console.WriteLine("ptr= 0x{0:X2}", ptr);

            //2. 寫入數據
            var num = int.MaxValue;
            Marshal.WriteInt32(ptr, num);
            Console.WriteLine("num 已寫入 ptr= 0x{0:X2} 堆塊", ptr);
            Debugger.Break();

            //3. 釋放 堆塊
            Marshal.FreeHGlobal(ptr);
            Console.WriteLine("ptr= 0x{0:X2} 堆塊成功釋放", ptr);
        }

熟悉 ntheap 的朋友都知道,如果在調試的環境下使用 FreeHGlobal? 方法會命中底層的 ntdll!RtlpValidateHeap 方法,只要在這地方下個斷點即可,參考代碼如下:

0:000> bp ntdll!RtlpValidateHeap
0:000> g
Breakpoint 0 hit
ntdll!RtlpValidateHeap:
00007ffe`8e92a784 48895c2410      mov     qword ptr [rsp+10h],rbx ss:00000021`2037e078=00007ffd00000000
0:000> k 10
 # Child-SP          RetAddr               Call Site
00 00000021`2037e068 00007ffe`8e9295f5     ntdll!RtlpValidateHeap
01 00000021`2037e070 00007ffe`8e855cc1     ntdll!RtlDebugFreeHeap+0x99
02 00000021`2037e0d0 00007ffe`8e855b74     ntdll!RtlpFreeHeap+0xc1
03 00000021`2037e280 00007ffe`8e8547b1     ntdll!RtlpFreeHeapInternal+0x464
04 00000021`2037e340 00007ffe`8c33934f     ntdll!RtlFreeHeap+0x51
05 00000021`2037e380 00007ffd`d4af5c7c     KERNELBASE!LocalFree+0x2f
06 00000021`2037e3c0 00007ffd`7b132a10     System_Private_CoreLib!System.Runtime.InteropServices.Marshal.FreeHGlobal+0x4c [/_/src/libraries/System.Private.CoreLib/src/System/Runtime/InteropServices/Marshal.Windows.cs @ 144] 
07 00000021`2037e490 00007ffd`dacaae93     Example_18_1_1!Example_18_1_1.Program.Main+0xd0 [D:\skyfly\18.20230322\src\Example\Example_18_1_1\Program.cs @ 21] 
...

從代碼中可以看到當釋放堆塊時果然調用了這個函數,接下來有一個需求,我想知道 KERNELBASE!LocalFree? 第一個參數到底是什么,有朋友肯定想說,你可以取 rcx? 寄存器呀,但不要忘了,此時代碼都跑到 ntdll!RtlpValidateHeap? 方法了, rcx 中的值早就被其他方法給覆蓋了,那怎么辦呢?

2. 還有希望嗎

有沒有希望真的看運氣了,這時候要詳細觀察 KERNELBASE!LocalFree 方法入口處的匯編代碼,看下它有沒有將 rcx 保存在棧中,如果真的有保存到棧中,那就萬幸了,有了思路之后說干就干。

0:000> u KERNELBASE!LocalFree
KERNELBASE!LocalFree:
00007ffe`8c339320 48895c2410      mov     qword ptr [rsp+10h],rbx
00007ffe`8c339325 4889742418      mov     qword ptr [rsp+18h],rsi
00007ffe`8c33932a 48894c2408      mov     qword ptr [rsp+8],rcx
00007ffe`8c33932f 57              push    rdi
00007ffe`8c339330 4883ec30        sub     rsp,30h
00007ffe`8c339334 488bd9          mov     rbx,rcx
00007ffe`8c339337 f6c308          test    bl,8
00007ffe`8c33933a 753f            jne     KERNELBASE!LocalFree+0x5b (00007ffe`8c33937b)

從匯編代碼看真的很萬幸,代碼將 rcx? 保存到了 rsp+8? 的棧位置,接下來急需要知道這里的 rsp+8 指的是哪一塊內存地址?

3. rsp+8 到底指向哪里

在 x64 平臺下,為了最大化的利用寄存器,方法棧幀使用一個 rsp 來標記??臻g,而不像 32bit 平臺用 ebp? 和 esp? 兩個寄存器來聯合承載,參考 k 命令輸出。

0:000> k 8
 # Child-SP          RetAddr               Call Site
00 00000021`2037e068 00007ffe`8e9295f5     ntdll!RtlpValidateHeap
01 00000021`2037e070 00007ffe`8e855cc1     ntdll!RtlDebugFreeHeap+0x99
02 00000021`2037e0d0 00007ffe`8e855b74     ntdll!RtlpFreeHeap+0xc1
03 00000021`2037e280 00007ffe`8e8547b1     ntdll!RtlpFreeHeapInternal+0x464
04 00000021`2037e340 00007ffe`8c33934f     ntdll!RtlFreeHeap+0x51
05 00000021`2037e380 00007ffd`d4af5c7c     KERNELBASE!LocalFree+0x2f
06 00000021`2037e3c0 00007ffd`7b132a10     System_Private_CoreLib!System.Runtime.InteropServices.Marshal.FreeHGlobal+0x4c [/_/src/libraries/System.Private.CoreLib/src/System/Runtime/InteropServices/Marshal.Windows.cs @ 144] 
07 00000021`2037e490 00007ffd`dacaae93     Example_18_1_1!Example_18_1_1.Program.Main+0xd0 [D:\skyfly\18.20230322\src\Example\Example_18_1_1\Program.cs @ 21]

接下來的問題是: Child-SP 和 KERNELBASE!LocalFree 方法中的 rsp 到底是什么關系?要回答這個問題,需要非常清楚 Child-SP 是如何標記棧幀的,畫個圖如下:

圖片

從圖中可以清晰的看到:Child-SP? 標記的是子方法中第一個參數的位置,而方法入口處的 RSP 指向的是該方法的返回地址 RIP 的位置,比 Child-SP 小一個指針單元。

有朋友可能要問為什么是 RIP 的位置,這是因為匯編的 call 指令會隱式的如下執行。

PUSH RIP
SUB ESP,8

有了這些基礎之后,接下來就好辦了,計算公式為:

rsp = Child-SP - 0x8

那么 rsp + 0x8 = Child-SP - 0x8 + 0x8 = Child-SP = 000000212037e3c0,接下來用 windbg 來驗證下。

0:000> dp 000000212037e3c0 L1
00000021`2037e3c0  00000141`a81f1f20
0:000> !heap -x 00000141`a81f1f20
Entry             User              Heap              Segment               Size  PrevSize  Unused    Flags
-------------------------------------------------------------------------------------------------------------
00000141a81f1f10  00000141a81f1f20  00000141a8100000  00000141a8100000        40        90        3c  busy extra fill

大家再回頭看下 Console 界面的輸出,果然就是我苦苦尋求的 ptr= 0x141A81F1F20 地址。

三:總結

這是一篇非常有用的經驗分享帖,相信你在dump分析中肯定會用的上,總的來說,由于方法參數是通過寄存器傳遞的,能不能成功撈取需要你仔細觀察匯編代碼才能知道。

責任編輯:武曉燕 來源: 一線碼農聊技術
x64程序參數
相關推薦

2009-08-18 09:10:36

Windows 7 UX64繁體中文版

2010-01-05 13:29:43

Windows 7Apache安裝

2023-09-21 08:46:44

操作系統windows 10內存

2009-06-12 09:10:35

Windows 7微軟下載

2009-08-08 09:07:57

Windows 7 P64位下載

2009-08-14 09:31:27

Windows 7 Ux64下載

2011-08-24 15:55:04

2009-08-08 09:09:06

Windows 7 U64位下載

2021-07-06 05:26:35

微軟 ARM Office

2009-12-10 18:13:08

Sun

2020-12-11 08:48:21

Windows操作系統功能

2021-06-29 13:00:11

微軟Windows 11Windows

2009-12-10 09:24:06

SunX64AMD

2011-07-27 09:25:54

SUSEX64架構大型機

2009-07-09 19:43:08

SunAMD服務器

2009-02-10 09:43:12

RAMFeRAM存儲芯片

2011-08-17 18:00:15

SQL Server MDS

2023-06-01 08:25:19

Windows 10Tiny10

2015-12-25 10:31:47

惡意軟件

2011-07-12 17:20:26

PLSQL DevelOracle 10g
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 日韩免费一区二区 | 国产精品美女久久久久久免费 | 欧美激情国产精品 | 国产精品国产精品国产专区不蜜 | 欧美国产日韩在线观看 | 色综合一区二区 | 久久综合一区 | 91久久精品国产91久久 | 国产一区二区精品自拍 | 国产美女在线观看 | 欧美日韩久久久 | 午夜精品一区二区三区在线播放 | 天天插天天狠天天透 | 男女爱爱网站 | 四虎影音| 日韩精品在线免费观看视频 | 欧美一区二不卡视频 | 天堂色综合 | 欧美精品导航 | 欧美日韩一区二区在线观看 | www.天天操.com | 黄色网页在线观看 | 国产免费观看一级国产 | 免费能直接在线观看黄的视频 | 亚洲天天干 | 欧美a在线 | 黄色在线观看国产 | 农村黄性色生活片 | 成人亚洲视频 | 国产在线97 | 日韩欧美高清 | 黄色精品 | 午夜视频在线观看网址 | 综合色站导航 | 亚洲成人在线网 | 成人av在线播放 | 91网站在线播放 | 亚洲伊人精品酒店 | 中文字幕av高清 | 波多野结衣中文字幕一区二区三区 | 午夜精品视频一区 |