Shinichi Hirauchi, profile picture
Uploaded byShinichi Hirauchi
PDF, PPTX7,037 views

64ビット対応Dllインジェクション

CLR/H66で担当させて頂いたセッションの資料です。 pdf用に一部編集されています。

Embed presentation

Download as PDF, PPTX
DLLInjectionの利用例
動作イメージ パワー ポイント メモ帳 Windows メモ帳 メモ帳 ブラウザ
動作イメージ 各プロセスのメモリ空間内には、当該プロセ スの独自コード・カーネル・DLLがロード プロセスA プロセスB カーネルコード カーネルコード プロセスAのコード プロセスBのコード Other.dll test.dll user32.dll user32.dll kernel32.dll kernel32.dll
2種類のDLL配置
ダイナミックにロードする //test.dllをロードする HMODULE hDll = ::LoadLibrary( "test.dll" ); if ( hDll != NULL ){ //DLLを使用するコードをここに記述 //test.dllをアンロードする ::FreeLibrary( hDll ); }
AのコードでBのメモリ空間に ロードすればインジェクション成立 プロセスA プロセスB プロセスAのコード LoadLibrary() プロセスBのコード test.dll
他プロセスでスレッド実行 HANDLE CreateRemoteThread( HANDLE hProcess, // 挿入先プロセスハンドル LPSECURITY_ATTRIBUTES lpAttr,// セキュリティ属性 DWORD dwStackSize, // スタックサイズ LPTHREAD_START_ROUTINE lpAddr,//関数ポインタ LPVOID lpParameter, // 引数ポインタ DWORD dwCreationFlags, // 作成フラグ LPDWORD lpThreadId // スレッド識別子 );
LPTHREAD_START_ROUTINE 型 typedef DWORD ( __stdcall *LPTHREAD_START_ROUTINE) ( [in] LPVOID lpThreadParameter ); HMODULE LoadLibrary( LPCTSTR lpFileName //モジュール名 ); BOOL FreeLibrary( HMODULE hModule // DLLハンドル );
関数のアドレス プロセスA プロセスB カーネルコード カーネルコード プロセスAのコード プロセスBのコード 0x75230000 kernel32.dll 0x75230000 kernel32.dll 0x75230xxx 0x75230xxx Loadribrary() Loadribrary()
インジェクション・コード //kernel32のモジュールハンドル取得 IntPtr m = GetModuleHandle("kernel32.dll"); //LoadLibrary()のアドレス取得 UIntPtr a = GetProcAddress(m, "LoadLibraryA"); //スレッド実行 IntPtr t = CreateRemoteThread( hProcess,IntPtr.Zero, 0, a, param, 0, out b); //スレッド完了待ち(DllMainから返るのを待つ) WaitForSingleObject(t,INFINITE); //DLLハンドルの取得 if (GetExitCodeThread(t, out hDll)) { if(hDll!=IntPtr.Zero)result = true;//成功 } //スレッドクローズ CloseHandle(t);
LoadLibraryのパラメータ HMODULE hDll = ::LoadLibrary( "test.dll" ); 自プロセスのメモリ空間に展開された文字列へのポインタ プロセスBのスレッドにはプロセスB上のアドレスが必要 プロセスA プロセスB 0x02583000 0x02583000 “test.dll” Int x=100
他プロセスでメモリ操作 VirtualAllocEx() 挿入先プロセスでメモリ確保 WriteProcessMemory() 挿入先のメモリ空間に書き込む 書き込んだメモリを使用する Loadribrary()のパラメータ VirtualFreeEx() 確保したメモリの開放 プロセスA プロセスB VirtualAllocEx WriteProcessMemory 0x000034000 “test.dll”
メモリ操作・コード UInt32 MEM_COMMIT = 0x1000; UInt32 PAGE_EXECUTE_READWRITE = 0x40; IntPtr m = (IntPtr)VirtualAllocEx( hProcess, IntPtr.Zero, (uint)len, MEM_COMMIT, PAGE_EXECUTE_READWRITE); if (m != IntPtr.Zero) { //確保した挿入先の領域にDLL名を書き込む WriteProcessMemory( hProcess, m, dllName, (UIntPtr)len, out b); //確保したメモリをここで使用する //(挿入先でLoadLibraryを呼び出す) //確保したメモリの開放 VirtualFreeEx(hProcess, m, 0, 0x8000);
64bitOSの問題(混在) 64ビットOSでは、従来の32ビットプログラムもWOW64に よりそのまま使用することができるため、両者が混在している 64ビットEXEは、64ビットDLLのみ使用可能 32ビットEXEは、32ビットDLLのみ使用可能 Dllインジェクションも、挿入先に合わせたDLLが必要
64bitOSの問題 (ERROR_ACCESS_DENIED) WOW64上からは、CreateRemoteThread()は、 ERROR_ACCESS_DENIEDが発生して使用できません。 使用できないという正規のドキュメントは、見つけられませんでしたが、 同一趣旨のコメントが多数検索にヒットします。 64bit上では、64bitのEXEしか使用できない
64bitOSの問題 (kernel32.dllのアドレスが違う) WOW64上の32bitプロセスは、違うkernel32.dllを ロードしている。 c:¥>listdlls POWERPNT.EXE 32ビットプロセス ListDLLs v3.1 - List loaded DLLs Base Size Path 0x00000000776b0000 0x160000 C:¥Windows¥SysWOW64¥ntdll.dll 0x0000000075230000 0x110000 C:¥Windows¥syswow64¥kernel32.dll >ListDlls notepad 64ビットプロセス ListDLLs v3.1 - List loaded DLLs Base Size Path 0x0000000077650000 0x186000 C:¥Windows¥system32¥ntdll.dll 0x00000000771c0000 0x12d000 C:¥Windows¥system32¥kernel32.dll 64ビット上から32ビットプロセスのアドレスが分からない
64bitOSの問題(まとめ) マトリックスにしてみると、下記の3種類しか動作できないこ とが分かる 挿入先に応じたDLLが必要 WOW64で動作させない 64bitのEXE上で32bitのkernel32ロードのアドレスが必要
挿入先に応じたDLLが必要 64bitOS上では、64bitの「notepad.exe」が動作している OSにより違う場合は、2種類用意して実行時に選択する
WOW64で動作させない OSに合わせたEXEを用意する .NETの「AnyCPU」で作成すれば解決 //ポインタが8バイトの場合 If(IntPtr.Size == 8){ //64bit環境で動作中 }
64bitから32bitの kernel32.dllのアドレス取得 32bitでコンパイルした下記のEXEを実行して アドレスを取得する #include <windows.h> int main(int, char**){ return(int) = GetProcAddress( GetModuleHandle(“kernel32”), “LoadLibraryA”); } 参考「64bitプロセスから32bitプロセスにDLL Injection (C言語) 」 http://nazochu.blogspot.com/2011/09/64bit32bitdll-injection.html
4G超のアドレスに注意が必要 kernel32.dllのアドレスは幸い32bitで表現可能だった >ListDlls notepad 64ビットプロセス ListDLLs v3.1 - List loaded DLLs Base Size Path 0x0000000077650000 0x186000 C:¥Windows¥system32¥ntdll.dll 0x00000000771c0000 0x12d000 C:¥Windows¥system32¥kernel32.dll Dllハンドルは32bitで表現できない
64ビット対応Dllインジェクション

More Related Content

PDF
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...
byAkihiro Suda
 
PDF
SSE4.2の文字列処理命令の紹介
byMITSUNARI Shigeo
 
PDF
Apache Bigtop3.2 (仮)(Open Source Conference 2022 Online/Hiroshima 発表資料)
byNTT DATA Technology & Innovation
 
PDF
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
byKuniyasu Suzaki
 
PDF
unique_ptrにポインタ以外のものを持たせるとき
byShintarou Okada
 
PDF
FridaによるAndroidアプリの動的解析とフッキングの基礎
byken_kitahara
 
PDF
eBPF - Rethinking the Linux Kernel
byThomas Graf
 
PDF
OPcacheの新機能ファイルベースキャッシュの内部実装を読んでみた
byYoshio Hanawa
 
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...
byAkihiro Suda
 
SSE4.2の文字列処理命令の紹介
byMITSUNARI Shigeo
 
Apache Bigtop3.2 (仮)(Open Source Conference 2022 Online/Hiroshima 発表資料)
byNTT DATA Technology & Innovation
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
byKuniyasu Suzaki
 
unique_ptrにポインタ以外のものを持たせるとき
byShintarou Okada
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
byken_kitahara
 
eBPF - Rethinking the Linux Kernel
byThomas Graf
 
OPcacheの新機能ファイルベースキャッシュの内部実装を読んでみた
byYoshio Hanawa
 

What's hot

PDF
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
byKuniyasu Suzaki
 
PDF
初心者向けCTFのWeb分野の強化法
bykazkiti
 
PDF
Git을 조금 더 알아보자!
byYoung Kim
 
PDF
eBPF Trace from Kernel to Userspace
bySUSE Labs Taipei
 
PDF
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
PDF
TripleO Deep Dive 1.1
byTakashi Kajinami
 
PDF
Linux kernel
byMahmoud Shiri Varamini
 
PPTX
ConfD で Linux にNetconfを喋らせてみた
byAkira Iwamoto
 
PDF
Building Network Functions with eBPF & BCC
byKernel TLV
 
PPTX
LLVM Instruction Selection
byShiva Chen
 
PDF
Docker Compose 徹底解説
byMasahito Zembutsu
 
PDF
マイクロサービスバックエンドAPIのためのRESTとgRPC
bydisc99_
 
PDF
Open Policy Agent (OPA) 入門
byMotonori Shindo
 
PDF
AndroidとSELinux
byandroid sola
 
PPTX
LLVM Backend Porting
byShiva Chen
 
PDF
Docker, Linux Containers (LXC), and security
byJérôme Petazzoni
 
PDF
initramfsについて
byKazuhiro Nishiyama
 
PDF
About GStreamer 1.0 application development for beginners
byShota TAMURA
 
PPTX
NVMCT #1 ~今さら聞けないSSDの基本~
byFixstars Corporation
 
PDF
A quick tour of the Cysharp OSS
byYoshifumi Kawai
 
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
byKuniyasu Suzaki
 
初心者向けCTFのWeb分野の強化法
bykazkiti
 
Git을 조금 더 알아보자!
byYoung Kim
 
eBPF Trace from Kernel to Userspace
bySUSE Labs Taipei
 
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
TripleO Deep Dive 1.1
byTakashi Kajinami
 
Linux kernel
byMahmoud Shiri Varamini
 
ConfD で Linux にNetconfを喋らせてみた
byAkira Iwamoto
 
Building Network Functions with eBPF & BCC
byKernel TLV
 
LLVM Instruction Selection
byShiva Chen
 
Docker Compose 徹底解説
byMasahito Zembutsu
 
マイクロサービスバックエンドAPIのためのRESTとgRPC
bydisc99_
 
Open Policy Agent (OPA) 入門
byMotonori Shindo
 
AndroidとSELinux
byandroid sola
 
LLVM Backend Porting
byShiva Chen
 
Docker, Linux Containers (LXC), and security
byJérôme Petazzoni
 
initramfsについて
byKazuhiro Nishiyama
 
About GStreamer 1.0 application development for beginners
byShota TAMURA
 
NVMCT #1 ~今さら聞けないSSDの基本~
byFixstars Corporation
 
A quick tour of the Cysharp OSS
byYoshifumi Kawai
 

Similar to 64ビット対応Dllインジェクション

PDF
今よりも少し(?)昔、 Windowsを作ろうとした話
byMasaru Oki
 
PPTX
Dll Injection
byHiroaki Hata
 
PPTX
as-5. サブルーチン呼び出しのメカニズム
bykunihikokaneko1
 
PDF
あなたの知らないnopたち@ラボユース合宿
byMITSUNARI Shigeo
 
PDF
怪しいWindowsプログラミング
bynagoya313
 
PDF
V6 Interpreter (Nagoya Geek Bar 2011-05-02)
by7shi
 
PDF
超基礎からのコンピュータ
byYoshihiro Yamaguchi
 
PDF
Visual Studio Community 2013 で始めるプログラミング Win32/MFC #clrh93
byhiyohiyo
 
PDF
V6read#3
bymagoroku Yamamoto
 
PDF
Exploring the x64
byFFRI, Inc.
 
PDF
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
byYuto Takei
 
PDF
Loading dl lfrommemory
byry0kvn
 
PDF
PFI Seminar 2010/02/18
byPreferred Networks
 
PDF
CLRの基礎 - プログラミング .NET Framework 第3版 読書会
byYoshihisa Ozaki
 
PDF
【学習メモ#3rd】12ステップで作る組込みOS自作入門
bysandai
 
PDF
llvm入門
byMITSUNARI Shigeo
 
PDF
PWNの超入門 大和セキュリティ神戸 2018-03-25
byIsaac Mathis
 
PPTX
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
bySatoshi Mimura
 
PDF
From IA-32 to avx-512
byMITSUNARI Shigeo
 
PPTX
ネイティブコードを語る
byKenji Imasaki
 
今よりも少し(?)昔、 Windowsを作ろうとした話
byMasaru Oki
 
Dll Injection
byHiroaki Hata
 
as-5. サブルーチン呼び出しのメカニズム
bykunihikokaneko1
 
あなたの知らないnopたち@ラボユース合宿
byMITSUNARI Shigeo
 
怪しいWindowsプログラミング
bynagoya313
 
V6 Interpreter (Nagoya Geek Bar 2011-05-02)
by7shi
 
超基礎からのコンピュータ
byYoshihiro Yamaguchi
 
Visual Studio Community 2013 で始めるプログラミング Win32/MFC #clrh93
byhiyohiyo
 
V6read#3
bymagoroku Yamamoto
 
Exploring the x64
byFFRI, Inc.
 
[Basic 7] OS の基本 / 割り込み / システム コール / メモリ管理
byYuto Takei
 
Loading dl lfrommemory
byry0kvn
 
PFI Seminar 2010/02/18
byPreferred Networks
 
CLRの基礎 - プログラミング .NET Framework 第3版 読書会
byYoshihisa Ozaki
 
【学習メモ#3rd】12ステップで作る組込みOS自作入門
bysandai
 
llvm入門
byMITSUNARI Shigeo
 
PWNの超入門 大和セキュリティ神戸 2018-03-25
byIsaac Mathis
 
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
bySatoshi Mimura
 
From IA-32 to avx-512
byMITSUNARI Shigeo
 
ネイティブコードを語る
byKenji Imasaki
 

More from Shinichi Hirauchi

PPTX
最近、ショッピングセンターとかの駐車場で見かける「自動でナンバープレートを認識して決算するやつ」←これ、作ってみました
byShinichi Hirauchi
 
PPTX
Developer IO 2024 Odyssey SAMを応用したコンピュータビジョンの話
byShinichi Hirauchi
 
PPTX
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
byShinichi Hirauchi
 
PPTX
Amazon Forecast 機械学習でビジネスの予測と成果を簡単かつ正確に予測する
byShinichi Hirauchi
 
PPTX
Amazon connect について 〜各種AWSのサービスとの連携〜
byShinichi Hirauchi
 
PPTX
Alexa SDK Alexa Salon
byShinichi Hirauchi
 
PDF
Developers.io 2017 iPhoneによるAlexa/Lex/Pollyを利用した 音声対応クライアントの作成方法
byShinichi Hirauchi
 
PPTX
Developers.io.札幌 xamarinってどうよ
byShinichi Hirauchi
 
PPTX
20分でできる!Xamarin.Forms入門
byShinichi Hirauchi
 
PPTX
ソフト屋が挑戦した電子工作 〜力ずくの10か月〜
byShinichi Hirauchi
 
PPTX
Developers.IO 2016 F-1 セッション資料
byShinichi Hirauchi
 
PDF
シルバーウィークにfacebookアプリを作成した
byShinichi Hirauchi
 
PDF
Xamarin.formsで作成する翻訳機能付きtwitterクライアント
byShinichi Hirauchi
 
PPTX
簡易電話交換機の作成~廃品利用による低予算プロジェクト~
byShinichi Hirauchi
 
PDF
この辺でXamarin導入による 効果と限界をしっかり把握してみよう MVP Community Camp 2015
byShinichi Hirauchi
 
PDF
BoxViewの美味しい食べ方
byShinichi Hirauchi
 
PDF
C#で作成するfacebookアプリ mvp community camp
byShinichi Hirauchi
 
PDF
Facebookスパムデータベース~あなたのお友達に、スパムアカウントが紛れ込んでませんか
byShinichi Hirauchi
 
PDF
簡易電話交換機の作成~廃品利用による低予算プロジェクト
byShinichi Hirauchi
 
PDF
Black jumbodogの新機能(webapi)~自動テストにおけるsmtpモックとして
byShinichi Hirauchi
 
最近、ショッピングセンターとかの駐車場で見かける「自動でナンバープレートを認識して決算するやつ」←これ、作ってみました
byShinichi Hirauchi
 
Developer IO 2024 Odyssey SAMを応用したコンピュータビジョンの話
byShinichi Hirauchi
 
気ままなLLMをAgents for Amazon Bedrockでちょっとだけ飼いならす
byShinichi Hirauchi
 
Amazon Forecast 機械学習でビジネスの予測と成果を簡単かつ正確に予測する
byShinichi Hirauchi
 
Amazon connect について 〜各種AWSのサービスとの連携〜
byShinichi Hirauchi
 
Alexa SDK Alexa Salon
byShinichi Hirauchi
 
Developers.io 2017 iPhoneによるAlexa/Lex/Pollyを利用した 音声対応クライアントの作成方法
byShinichi Hirauchi
 
Developers.io.札幌 xamarinってどうよ
byShinichi Hirauchi
 
20分でできる!Xamarin.Forms入門
byShinichi Hirauchi
 
ソフト屋が挑戦した電子工作 〜力ずくの10か月〜
byShinichi Hirauchi
 
Developers.IO 2016 F-1 セッション資料
byShinichi Hirauchi
 
シルバーウィークにfacebookアプリを作成した
byShinichi Hirauchi
 
Xamarin.formsで作成する翻訳機能付きtwitterクライアント
byShinichi Hirauchi
 
簡易電話交換機の作成~廃品利用による低予算プロジェクト~
byShinichi Hirauchi
 
この辺でXamarin導入による 効果と限界をしっかり把握してみよう MVP Community Camp 2015
byShinichi Hirauchi
 
BoxViewの美味しい食べ方
byShinichi Hirauchi
 
C#で作成するfacebookアプリ mvp community camp
byShinichi Hirauchi
 
Facebookスパムデータベース~あなたのお友達に、スパムアカウントが紛れ込んでませんか
byShinichi Hirauchi
 
簡易電話交換機の作成~廃品利用による低予算プロジェクト
byShinichi Hirauchi
 
Black jumbodogの新機能(webapi)~自動テストにおけるsmtpモックとして
byShinichi Hirauchi
 

64ビット対応Dllインジェクション