利用CreateRemoteThread向进程注入远程代码时,一般会有以下两种做法:
- 利用LoadLibrary在目标进程加载指定的DLL
- 将代码复制到目标进程,然后启动这段代码
上面的第二种方法其实在使用上更加灵活。因为借用该方法,我们可以灵活地自定义函数(以下简称为启动函数)的参数。其使用流程一般为:
- 利用VirtualAllocEx / WriteProcessMemory 将启动函数的代码复制到目标进程
- 利用VirtualAllocEx / WriteProcessMemory 将启动函数的参数复制到目标进程
- 调用CreateRemoteThread (..., 启动函数指针, 参数指针...)来注入远程线程
在这种注入方式下,由于是将CODE直接从本进程(主调进程)注入到目标进程,因此这个函数的处理需要十分小心才是。
你必须要防止在启动函数代码中引用本进程的内部资源,便如.rdata段(比如常量定义),.text段(比如内部的函数)。
如果你没有遵守以上规则,那么启动函数被复制到目标进程并开始执行后,崩溃是必然的结果,因为这个代码引用的额外资源并不在目标进程中。
我在实际使用过程中就遇到了以下导致崩溃的问题:
在目标进程中用OD查看启动函数代码时,发现代码中被插入了security_cookie功能,其中包括了两个额外引用:
- mov eax, [security_cookie]
- call security_check_cookie
第一个引用实际上是引用了本地进程的rdata段
第二个引用实际上是引用了本地进程的text段
如果解决这个问题呢,实际上微软在MSDN中已经给出了答案,那就是在工程的编译选项中添加以下开关:
/GS-
这样就完全禁止了编译器对启动函数的Guard Stack功能,关于该编译选项可以参考:
http://msdn.microsoft.com/zh-cn/library/8dbf701c.aspx
C/C++ 编译器选项
-优化-
/O1 最小化空间 /O2 最大化速度
/Ob 内联扩展(默认 n=0) /Od 禁用优化(默认)
/Og 启用全局优化 /Oi[-] 启用内部函数
/Os 优选代码空间 /Ot 优选代码速度
/Ox 最大化优化 /Oy[-] 启用帧指针省略
-代码生成-
/GF 启用只读字符串池 /Gm[-] 启用最小重新生成
/Gy[-] 分隔链接器函数 /GS[-] 启用安全检查
/GR[-] 启用 C++ RTTI /GX[-] 启用 C++ EH (与 /EHsc 相同)
/EHs 启用 C++ EH (没有 SEH 异常) /EHa 启用 C++ EH (w/ SEH 异常)
/EHc 外部“C”默认为 nothrow
/fp: 选择浮点模式:
except[-] - 在生成代码时考虑浮点异常
fast -“fast”浮点模式;结果可预测性比较低
precise -“precise”浮点模式;结果可预测
strict -“strict” 浮点模式(意味着 /fp:except)
即使使用 /fp:except,/Qfast_transcendentals 也生成内联内部 FP
/GL[-] 启用链接时代码生成 /GA 为 Windows 应用程序进行优化
/Ge 对所有函数强制堆栈检查 /Gs[num] 控制堆栈检查调用
/Gh 启用 _penter 函数调用 /GH 启用 _pexit 函数调用
/GT 生成纤程安全 TLS 访问 /RTC1 启用快速检查(/RTCsu)
/RTCc 转换为较小的类型检查 /RTCs 堆栈帧运行时检查
/RTCu 未初始化的局部用法检查
/clr[:option] 为公共语言运行库编译,其中 option 是:
pure - 生成只包含 IL 的输出文件(没有本机可执行代码)
safe - 生成只包含 IL 的可验证输出文件
oldSyntax - 接受 Visual C++ 2002/2003 的托管扩展语法
initialAppDomain - 启用 Visual C++ 2002 的初始 AppDomain 行为
noAssembly - 不产生程序集 /Gd __cdecl 调用约定
/Gr __fastcall 调用约定 /Gz __stdcall 调用约定
/GZ 启用堆栈检查(/RTCs) /QIfist[-] 使用 FIST 而不是 ftol()
/hotpatch 确保可热修补映像的函数填充
/arch: CPU 结构的最低要求,为以下内容之一:
SSE - 启用支持 SSE 的 CPU 可用的指令
SSE2 - 启用支持 SSE2 的 CPU 可用的指令
/Qimprecise_fwaits 仅在“try”边界上生成 FWAITs,而不是“try”内部
-输出文件-
/Fa[file] 命名程序集列表文件 /FA[scu] 配置程序集列表
/Fd[file] 命名 .PDB 文件 /Fe 命名可执行文件
/Fm[file] 命名映射文件 /Fo 命名对象文件
/Fp 命名预编译头文件 /Fr[file] 命名源浏览器文件
/FR[file] 命名扩展 .SBR 文件
/doc[file] 处理 XML 文档注释,并可选择命名 .xdc 文件
-预处理器-
/AI
/C 不抽出注释 /D{=|#} 定义宏
/E 将预处理定向到 stdout /EP 预处理到标准输出,没有 #line
/P 预处理到文件 /Fx 将插入的代码合并到文件中
/FI 命名强制包含文件 /U 移除预定义的宏
/u 移除所有预定义的宏 /I
/X 忽略“标准位置”
-语言-
/Zi 启用调试信息 /Z7 启用旧式调试信息
/Zp[n] 在 n 字节边界上包装结构 /Za 禁用扩展
/Ze 启用扩展(默认) /Zl 忽略 .OBJ 中的默认库名
/Zg 生成函数原型 /Zs 只进行语法检查
/vd{0|1|2} 禁用/启用 vtordisp /vm 指向成员的指针类型
/Zc:arg1[,arg2] C++ 语言合规性,这里的参数可以是:
forScope[-] - 对范围规则强制使用标准 C++
wchar_t[-] - wchar_t 是本机类型,不是 typedef
/ZI 启用“编辑并继续”调试信息 /openmp 启用 OpenMP 2.0 语言扩展
- 杂项 -
@ 选项响应文件 /?, /help 打印此帮助消息
/bigobj 生成扩展的对象格式 /c 只编译,不链接
/errorReport:option 将内部编译器错误报告给 Microsoft
none - 不发送报告 prompt - 提示立即发送报告
queue - 在下一次管理员登录时,提示发送报告(默认)
send - 自动发送报告 /FC 诊断中使用完整路径名
/H 最大外部名称长度 /J 默认 char 类型是 unsigned
/MP[n] 最多使用“n”个进程进行编译 /nologo 取消显示版权消息
/showIncludes 显示包含文件名 /Tc 将文件编译为 .c
/Tp 将文件编译为 .cpp /TC 将所有文件编译为 .c
/TP 将所有文件编译为 .cpp /V 设置版本字符串
/w 禁用所有警告 /wd 禁用警告 n
/we 将警告 n 视为错误 /wo 发出一次警告 n
/w 为 n 设置警告等级 1-4 /W 设置警告等级(默认 n=1)
/Wall 启用所有警告 /WL 启用单行诊断
/WX 将警告视为错误 /Yc[file] 创建 .PCH 文件
/Yd 将调试信息放在每个 .OBJ 中 /Yl[sym] 为调试库插入 .PCH 引用
/Yu[file] 使用 .PCH 文件 /Y- 禁用所有 PCH 选项
/Zm 最大内存分配(默认为 %) /Wp64 启用 64 位端口定位警告
-链接-
/LD 创建 .DLL /LDd 创建 .DLL 调试库
/LN 创建 .netmodule /F 设置堆栈大小
/link [链接器选项和库] /MD 与 MSVCRT.LIB 链接
/MT 与 LIBCMT.LIB 链接 /MDd 与 MSVCRTD.LIB 调试库链接
/MTd 与 LIBCMTD.LIB 调试库链接
-代码分析-
/analyze[:WX-] 启用代码分析
WX- - 即使调用了 /WX,也不应将代码分析警告视为错误