0

我有一个在进程中注入的 dll。它搜索“file://”,直到找到无效符号。几分钟后,它使主进程崩溃。这是为什么?我该如何检查?我发现 CreateThread 上的堆栈大小越小,它崩溃的速度就越快,因此它可能会以某种方式堆栈溢出,但我没有分配任何东西,而是分配了一个结构。

BOOL APIENTRY DllMain(HINSTANCE hInstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    switch (fdwReason)
    {
        case DLL_PROCESS_ATTACH:

        CreateThread(NULL, 500, SampleFunction, 0, 0, NULL);            
            break;

        case DLL_THREAD_ATTACH:

            break;

        case DLL_THREAD_DETACH:
            break;

        case DLL_PROCESS_DETACH:
            break;
    }

    /* Return success */
    return TRUE;
}



int Send(char* strDataToSend) {
    HWND hWnd = FindWindow(NULL, "Test");
    if (hWnd) {
        COPYDATASTRUCT cpd;
        cpd.dwData = 0;
        cpd.cbData = (strlen(strDataToSend) + 1) * 2;
        cpd.lpData = (PVOID)strDataToSend;
        SendMessage(hWnd, WM_COPYDATA, (WPARAM) hWnd, (LPARAM)&cpd);
    }
}

int isurl(char c) {
    char* chars = "-._~:/?#[]@!$&'()*+,;=%";
    for(int i = 0; i < strlen(chars); i++) {
        if (chars[i] == c || isalnum(c)) {
            return 1;
        }           
    }

    return 0;
}

TESTDLLMAPI void WINAPI SampleFunction(void) {
    MessageBox(0,"LOADED !",0,0);
    MEMORY_BASIC_INFORMATION info;  
    MEMORY_BASIC_INFORMATION* pinfo = &info;

    while(1) {


    int cnt = 0;
    unsigned long addr = 0;
    do {
        ZeroMemory(&info, sizeof(info));

        if (!VirtualQueryEx(GetCurrentProcess(), (LPCVOID) addr, pinfo, sizeof(info))) {
            //MessageBox(0,"FAILED",0,0);
        }       

            if (info.State == 0x1000) {
            if (info.Protect == PAGE_READONLY || info.Protect == PAGE_READWRITE) {
                __try {

                if (info.RegionSize < 128) continue;

                for(long i = 0; i < info.RegionSize - 10; i+=7) {

                char* buff = info.BaseAddress;
                    if (buff[i] == 'f' && buff[i+1] == 'i' && buff[i+2] == 'l' && buff[i+3] == 'e' && buff[i+4] == ':' && buff[i+5] == '/' && buff[i+6] == '/') {

                        long start = i;
                        long end   = start+7;

                        while(end < info.RegionSize - 10 && isurl(buff[end])) end++; 

                        int len = end - start + 1;
                        char* test = (char*) calloc(len, 1);
                        //memcpy(test, buff+start, len);
                        int k = 0;
                        for (int j = start; j <= end; j++, k++) {
                            test[k] = buff[j];
                        }


                            Send(test);
                                                    free(test); 
                            cnt++;      
                        }

                    }
                } __finally {}
            }
        }

        addr = (unsigned long) info.BaseAddress + (unsigned long) info.RegionSize;
    } while (addr != 0 && addr < 0x7FFF0000);

    Sleep(1000);

}
4

2 回答 2

3

在您的 Send 函数中,您将缓冲区大小设置为字符串x2的长度,但您将数据传递给指向 a 的指针char,这是一个字节。

还有一些提示:

  • 您一次以 7 为增量读取内存。这有两个问题:
    • 例如,如果结尾info.RegionSize - 10是 500000,并且 i = 499999,该怎么办?您将读取 6 个字节,这将导致崩溃。
    • "file://"不一定会在内存中某个地址为 7 的倍数的地方找到。如果您碰巧正在测试“123file://....”,那么您就会错过它,因为您会找到“123file”和“://....”
  • VirtualQueryEx(GetCurrentProcess(), ...是多余的。只需使用VirtualQuery.
  • 您正在使用 address 调用 VirtualQuery 0
  • 有一种更简单的方法可以执行您尝试完成的字符串比较 - strstr
  • 只是我还是做/当一个无限循环?
  • 你的功能甚至没有关闭。
  • 我看不出cnt应该达到什么目的。
  • 您在 DllMain 中创建了一个线程。CloseHandle一旦你不再使用它们,你应该关闭线程的句柄(在这种情况下,即在你创建它之后)

我为你重写SampleFunction了你的。我在旅途中编写了它,它可能无法编译,但您应该了解总体思路。

#include <windows.h>

BOOL IsPageReaable(PMEMORY_BASIC_INFORMATION pmbi)
{
  if (pmbi->Protect & PAGE_GUARD)
    return FALSE;

  if (pmbi->Protect &
    (PAGE_EXECUTE_READ | PAGE_EXECUTE_READWRITE
    | PAGE_EXECUTE_WRITECOPY | PAGE_READONLY
    | PAGE_READWRITE | PAGE_WRITECOPY))
    return TRUE;

  return FALSE;
}

#define POLL_INTERVAL 1000

TESTDLLMAPI VOID WINAPI SampleFunction(VOID)
{
  MEMORY_BASIC_INFO mbi;
  ULONG_PTR         ulAddress = GetModuleHandle(NULL); // base address
  LPSTR             lpszBase;

  ZeroMemory(&mbi, sizeof(mbi));
  if (!VirtualQuery(ulAddress, &mbi, sizeof(mbi)))
    return;

  if (!IsPageReadable(&mbi))
    return;

  lpszBase = info.BaseAddress;
  for (;; Sleep(POLL_INTERVAL))
  {
    for (ULONG_PTR i = 0; i < info.RegionSize; i++)
    {
      int   j;
      LPSTR lpszBuffer;

      if (strstr(&lpszBase[i], "file://") == NULL)
        continue;

      j = i + 1;
      do {
        j++;
      } while (j < info.RegionSize && isurl(lpszBase[j])

      lpszBuffer = (LPSTR)HeapAlloc(GetProcessHeap, HEAP_ZERO_MEMORY, sizeof(CHAR) * (j - i + 1));
      if (lpszBuffer != NULL)
      {
        CopyMemory(lpszBuffer, &lpszBase[i], j - i);
        Send(lpszBuffer);
        HeapFree(GetProcessHeap(), 0, lpszbuffer);
      }
    }
  }
}
于 2011-09-01T17:06:14.600 回答
0

没有测试很难说问题出在哪里,但是您可以使用 Ollydbg 或 Windbg 调试您的流程以找到错误,这是您必须执行的步骤:

1 - 附加到您的流程(例如使用 Ollydbg 表单 File->Atach)

2 - 取决于注入方法、远程线程或 SetWindowsHookEx :

  • 远程线程(LoadLibrary):LoadLibrary 上的断点,然后使用 olly 中断新的 dll 加载并遵循 dll 的条目

  • SetWindowsHookEx:我没有对此进行测试,但我认为以前的方法也可以在这里工作,除了“LoadLibrary 上的断点”部分

3 - 然后调试发现问题

于 2011-09-01T12:17:54.623 回答