未分類
6 9 月 2020

操作系统问题,关于函数地址空间

操作系统问题,关于函数地址空间

資深大佬 : ng29 26

如题, 假如进程里有函数 fun1, 再进程启动时,malloc 一页内存,拷贝 fun1 的内容到 malloc 出来的内存,称拷贝后的函数为 fun2, 调用 fun1 和 fun2 使用 不同的参数, 问 fun2 是不是可以正常执行?

考虑 fun2 是 fun1 改变了位置,如果有 jmp 指令是位置相关的,此时可不可以调整指令和字节数使得 fun2 可以正常运行直到 ret 返回。

大佬有話說 (33)

  • 資深大佬 : ng29

    求解

  • 資深大佬 : Jooooooooo

    啥意思

    两个线程运行同一段代码, 入参不一样?

  • 資深大佬 : ng29

    @Jooooooooo 只有一个线程 函数代码段被 复制到另外一个地址 复制后的函数能直接用地址调用吗?

  • 資深大佬 : fasionchan

    不行,malloc 出来的内存页是没有执行权限的。为什么呢?因为有一攻击叫栈溢出攻击。

  • 資深大佬 : hsiang271828

    我的理解是,fun1 的内容装载在代码段,拷贝出来的二进制放在新分配的堆中,不在代码段,寻址会出错无法运行

  • 資深大佬 : ng29

    @fasionchan 用 set_page_protection 加上权限以后 可以吗 ? 主要考虑 里面的地址引用 是不是需要调整 以及怎么调整

  • 資深大佬 : fasionchan

    @ng29 栈地址是通过 ebp 寄存器加上偏移量计算的,应该没影响;堆地址和静态全局变量都是完整地址,应该也没影响;而 if for 语句编译后的 jmp 指令是段内跳转,通过偏移量来进行,讲道理也不会有影响。具体你可以试试看,我好些年没做底层了,可能有错漏~

  • 資深大佬 : fasionchan

    @ng29 不过这样做的意义何在,做实验?

  • 資深大佬 : ng29

    @hsiang271828 调用的时候,会给这段空间执行权限以及 用 拷贝后的地址作为 函数指针; 我理解理论上是可以的 我的顾虑是 代码中有 jmp 相对跳转 会不会跳转错 ,这里只能去参考 intel 的文档了。。。

  • 資深大佬 : ng29

    @fasionchan hook 的时候, 改一些逻辑

  • 資深大佬 : ng29

    @fasionchan 比如一样的函数,传的参数不一样

  • 資深大佬 : hythyt9898

    看函数实现是不是地址无关代码( PIC )了,当然了你重新调整指令也是可以的,加壳软件都有类似流程。

  • 資深大佬 : Jooooooooo

    @ng29 感觉你没有理解硬件是怎么跑代码的

    线程本身的栈数据是线程自己管理的, 而运行什么代码是完全另外一块空间存放, 一般同一段代码内存里面只会有一份, 操作系统会复用的

  • 資深大佬 : ng29

    @Joooooooo 我是想 故意复制一份函数代码段

  • 資深大佬 : fasionchan

    @ng29 hook 一般不是定义新函数,新函数调用就函数,程序编译时连接新函数吗?之前看过微信后台的协程库 libco 的源码,里面 hook 了所有阻塞型的系统调用,你可以参考一下: https://github.com/Tencent/libco,可能会有一些启发。

  • 資深大佬 : ng29

    @fasionchan 如果是动态库的话,hook 是比较好操作,但是整个项目都是静态链接的,一般是用 inline hook 把旧函数的前几个字节 改成 jmp code 调到 新函数,我这里 是想 把 旧函数 挪到另外一个地方,先备份,后面调用的时候 给一个 自己修改后的 参数(修改寄存器或者栈),准备好参数后,再调用 fun2

  • 資深大佬 : enenaaa

    当然可以。 就是内存 patch 啊。fun2 能不能正常执行,要看里面的地址相关指令是否都能兼容新地址。一般有长跳的话需要在搬移后手动改汇编指令。

  • 資深大佬 : ng29

    @enenaaa 指令调整的话 有没有比较完善的方案,求一个

  • 資深大佬 : mXw

    你这个需求,需要修改内存权限才可以,rwx,相当于执行 shellcode ;参数的话就按照调用约定给进去就行。

  • 資深大佬 : secondwtq

    一方面是这块内存的内容允不允许被执行的问题
    另一方面是这块内存的内容里面有没有对非局部地址的引用

    如果有 RIP relative addressing 的话就比较麻烦

  • 資深大佬 : liuminghao233

    好像可以用 mprotect 改 x 权限
    但 malloc 默认是不会给你 x 权限的
    你把函数 copy 进去 带 x 权限的内存
    把 rsp rbp 弄好
    按照 x86 调用约定入参 rsi rdi…这些
    然后直接 jmp 或者 call 就行了

  • 資深大佬 : lniwn

    先说结论,是可行的,不过你不能用 malloc,而要用系统的内存分配 api,比如 win32 下的 HeapCreate,指定 PAGE_EXECUTE 权限。
    既然可以静态编译,那说明你已经有对应的库文件了,ida 抠出来,重新实现一遍是最简单的方式,然后 hook 原函数到新实现的函数。

  • 資深大佬 : limboMu

    还可以把代码段的数据拷贝到堆区执行吗?学到了,不过执行的时候参数都是会在栈区保留,唯一的区别就是如果函数内有超出函数边界的相对跳转,就有响应的,其他的情况应该没啥问题。

  • 資深大佬 : ng29

    @liuminghao233 是这样的 不过我有一个顾虑 就是函数里面有跳转指令的时候 可能有相对位置的 不知道这样的怎么跳转 想找一个通用的方案(适用于绝大多数函数)

  • 資深大佬 : ng29

    @lniwn 对一个函数比较好操作,如果做成通用的,有没有推荐的参考资料或代码

  • 資深大佬 : ng29

    原来的问题 也可以改成, 拿一块 代码段 到 自己申请的内存并 变为 位置无关代码

  • 資深大佬 : liuminghao233

    @ng29
    你需要禁止编译器生成位置无关代码 再加上-mcmodel=large
    比如说 g++ main.cpp -o main -fno-pie -mcmodel=large
    这样你引用变量的地址是绝对地址 而不是 rip relative 的

  • 資深大佬 : yangbonis

    你是在说 dlopen 吗?

  • 資深大佬 : yangbonis

    或者反射?

  • 資深大佬 : ng29

    @liuminghao233 感谢 minghao 我做实验试下

  • 資深大佬 : mingl0280

    可行,远程线程代码注入中的一步就是这么实现的.
    VirtualAllocEx 分配内存同时指定 PAGE_EXECUTE_READWRITE 权限以后用 WriteProcessMemory 将编译后的函数的首地址和函数长度的内存复制到远程线程中,然后给一发 CreateRemoteThread 就可以直接在远程进程里跑你的函数了.
    具体资料你完全可以参考 WINAPI 的远程代码注入.

  • 資深大佬 : mingl0280

    @ng29 函数内跳转指令不存在问题,只要你的函数内跳转指令符合以下要求:
    – 不指向在本程序内定义的其它函数,即跳转指令执行的都是处于共享内存区的.
    – 不存在可能触发 longjmp 或者其它导致函数退出的指令
    另外禁止位置无关代码不会有效的,代码空间不一样了,没法跳转到你自己的内存区继续执行的.

  • 資深大佬 : pythonee

    期待实验结果