تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
كيف يمكن حقن تعليمه القفز مع العنوان [jump + address] داخل Process أخر بشكل صحيح ؟
#1
أنا أحاول حقن تعليمه القفز إلى مكان أخر في الكود وذلك في Process أخرى والتي تسمى External injection, وقد قمت بعمل ذلك بالفعل ونجحت عملية الحقن ولكن العنوان address الذي تم حقنة بجانب تعليمه القفز JMP غير صحيح.

على سبيل المثال: 
unsigned int addr = 0x0048DA03;
unsigned int jumpToAddr = 0x0048D9B2;
unsigned char command[] = { 0xEA };
VirtualProtectEx(hProcess, (void*)addr, 20, PAGE_READWRITE, &oldProtect);
WriteProcessMemory(hProcess, (void*)addr, (void*)command, sizeof(command), NULL); // this line for jmp
WriteProcessMemory(hProcess, (void*)addr, (void*)jumpToAddr, sizeof(jumpToAddr), NULL); // this line for the address
VirtualProtectEx(hProcess, (void*)addr, 20, oldProtect, &oldProtect); 

والنتيجة كانت بهذا الشكل:

[صورة مرفقة: 20221230-195139.png]

كما رأينا في الصورة, وعند تنفيذ الكود نجد أن العنوان الذي سيتم القفز إليه غير صحيح.
أيضا تحدث هذه المشكلة أيضا عندما نقوم بحجز مساحة أفتراضية VirtualAlloc ليتم القفز إليها:
 
void* reservedMemAddress = VirtualAllocEx(hProcess, NULL, 100, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if (reservedMemAddress) {
WriteProcessMemory(hProcess, (void*)addr, (void*)command, sizeof(command), NULL);
WriteProcessMemory(hProcess, (void*)addr, (void*)reservedMemAddress, sizeof(reservedMemAddress), NULL);
}


وسؤالى الان هو:
  1. كيف يمكنني كتابة العنوان Address الذي سيتم القفز إليه JMP بشكل صحيح؟
  2. كيف أقوم بحقن التعليمة كمثال JMP 0x0048D9B2 بسطر كود واحد بأستخدام الدالة WriteProcessMemory بدلا من تكرار كتابة الدالة مرة لكتابة أمر JMP ومرة لكتابة العنوان Address؟
أعضاء أعجبوا بهذه المشاركة :
#2
لست بخبير في البرمجة راح أعطيك فكرة حاول تترجمها 
اجعل الكود يجلب Address Base و ضف إليه عنوان RVA
جرب...
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.

عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ».
(صحيح - رواه مسلم).
أعضاء أعجبوا بهذه المشاركة :
#3
عليك بحساب المسافة من مكان القفزة إلى المكان الذي تريد القفز إليه.

وتضيف الناتج بعد تعليمة القفزة.
من طلب العلا ... سهر الليالي
أعضاء أعجبوا بهذه المشاركة :
#4
السلام عليكم
(31-12-2022, 01:22 PM)lionking كتب :  
  • كيف يمكنني كتابة العنوان Address الذي سيتم القفز إليه JMP بشكل صحيح؟

  •  

قم بتخزين العوان باحدى المسجلات ثم دعه يقفز اليه.
(31-12-2022, 01:22 PM)lionking كتب : كيف أقوم بحقن التعليمة كمثال JMP 0x0048D9B2 بسطر كود واحد بأستخدام الدالة WriteProcessMemory بدلا من تكرار كتابة الدالة مرة لكتابة أمر JMP ومرة لكتابة العنوان Address؟
 
void writeMemory()
{
byte bMove = 0xB8;
DWORD dwAddress = 0x48D9B2 ;
WORD wJumpeax = 0xE0FF;

byte* buf = new byte[7]; // 1 mov , 4 address , 2 jmp eax

*buf = bMove;
memcpy(&buf[1], &dwAddress,sizeof(DWORD));
memcpy(&buf[5], &wJumpeax, sizeof(WORD));

DWORD dwBytesWritten = 0;
DWORD dwTargetAddress = 0x40100A;

WriteProcessMemory(GetCurrentProcess(), (LPVOID)dwTargetAddress, buf, 7, &dwBytesWritten);
delete[] buf;
}
أعضاء أعجبوا بهذه المشاركة : TeRcO
#5
(31-12-2022, 11:22 PM)M!X0R كتب : لست بخبير في البرمجة راح أعطيك فكرة حاول تترجمها 
اجعل الكود يجلب Address Base و ضف إليه عنوان RVA
جرب...

أشكرك أخي, بس للأسف جربتها بس ما نفعت أيضا.
 
(01-01-2023, 03:10 AM)EarthMan123 كتب : عليك بحساب المسافة من مكان القفزة إلى المكان الذي تريد القفز إليه.

وتضيف الناتج بعد تعليمة القفزة.

يا ريت أخي لو تعطيني مثال بالكود راح يكون كلامك واضح أكثر.
 
(01-01-2023, 11:07 AM)SeGNMeNT كتب : قم بتخزين العوان باحدى المسجلات ثم دعه يقفز اليه.

وهل هناك سبب يمنع من كتابة العنوان بشكل مباشر بدلا من إضافة بالريجستر أولا؟
لاننى أحاول أضافته بشكل مباشر بطريقتك ولكن لايزال يكتب العنوان بشكل خاطئ.
أعضاء أعجبوا بهذه المشاركة :
#6
https://stackoverflow.com/questions/7609...ns-address
https://reverseengineering.stackexchange...ubtraction
من طلب العلا ... سهر الليالي
أعضاء أعجبوا بهذه المشاركة :
#7
(02-01-2023, 09:59 PM)lionking كتب : وهل هناك سبب يمنع من كتابة العنوان بشكل مباشر بدلا من إضافة بالريجستر أولا؟
لاننى أحاول أضافته بشكل مباشر بطريقتك ولكن لايزال يكتب العنوان بشكل خاطئ.

نعم ممكن لكن لست متقن الاسمبلي , تعليمة القفزة لعنوان معين 0xEA jmp far غير مألوفة (على الأقل بالنسبة لي)
اي عنوان يكتبه خطأ ؟ قم باظهار كود العملية Opcode
أعضاء أعجبوا بهذه المشاركة :
#8
(03-01-2023, 05:17 PM)SeGNMeNT كتب :
تعليمة القفزة لعنوان معين 0xEA jmp far غير مألوفة

قفزة بعيدة 0xE9 اي 0xE9 XX XX XX XX 
قفزة فصيرة 0xEB أي 0xEB XX
 
(02-01-2023, 09:59 PM)lionking كتب : للأسف جربتها بس ما نفعت أيضا.

جرب هذا الكود ( الكود تبعك معدل)
 
unsigned int addr = 0x0048DA03;
unsigned char command[] = { 0xEBAD };
VirtualProtectEx(hProcess, (void*)addr, 20, PAGE_READWRITE, &oldProtect);
WriteProcessMemory(hProcess, (void*)addr, (void*)command, sizeof(command), NULL);
VirtualProtectEx(hProcess, (void*)addr, 20, oldProtect, &oldProtect); 

ممكن السطر الثاني يكون بهذا الشكل لست متأكد من الطريقة البرمجية الصحيحة
unsigned char command[] = { 0xEB, 0xAD };

باختصار حاول حقن 2 بايت في العنوان 0x0048DA03 بدل حقن عنوان في عنوان

صورة توضيحية
 
[صورة مرفقة: Tgk7TGV.png]

بالتوفيق  victory
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.

عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ».
(صحيح - رواه مسلم).
أعضاء أعجبوا بهذه المشاركة :
#9
(03-01-2023, 02:06 PM)EarthMan123 كتب : عليك بحساب المسافة من مكان القفزة إلى المكان الذي تريد القفز إليه.
وتضيف الناتج بعد تعليمة القفزة.

https://stackoverflow.com/questions/7609...ns-address
https://reverseengineering.stackexchange...ubtraction

هذا ما فعلتة:
unsigned int addr = 0x0048DA03;
unsigned int jumpFarToAddr = 0x0048A512;
unsigned char* hex = new unsigned char[4];
const unsigned char command = 0xE9;
unsigned int AddrTo = addr - jumpFarToAddr;
*hex = command;
memcpy(&hex[1], &AddrTo, sizeof(AddrTo));
VirtualProtectEx(hProcess, (void*)addr, 20, PAGE_READWRITE, &oldProtect);
WriteProcessMemory(hProcess, (void*)addr, (void*)hex, sizeof(hex), NULL);
VirtualProtectEx(hProcess, (void*)addr, 20, oldProtect, &oldProtect); 

وهذا هو الناتج:

[صورة مرفقة: 20230104-222003.png]

كما تلاحظ أن address الذي سيتم القفز إليه (90490EF9) مختلف تماما عن العنوان الحقيقي (0048A512)

 
(03-01-2023, 05:17 PM)SeGNMeNT كتب : نعم ممكن لكن لست متقن الاسمبلي , تعليمة القفزة لعنوان معين 0xEA jmp far غير مألوفة (على الأقل بالنسبة لي)
اي عنوان يكتبه خطأ ؟ قم باظهار كود العملية Opcode

لنفرض أن Address الذي سيتم القفز إليه هو (0048A512), لكن للأسف تجده بعد الحقن كاتب, كمثال (JMP 90490EF9) عنوان مختلف تماما عن العنوان الحقيقي. فأريد أن أعرف لماذا لا يكتب العنوان الحقيقي الذي سيتم القفز إلية ويكتب عنوان خاطئ.
ومثال أخر, عند أستخدام 0xEA للقفز إلى العنوان (0x0048A512), ولكن بعد حقن الكود يكون الكود كالتالي:

[صورة مرفقة: 20230105-001819.png]

كما ترى أن Address المحدد للقفز إليه ليس كما هو الحقيقي الذي حددته (0048A512).
هناك شئ مجهول هو السبب في عدم كتابة العنوان بشكل صحيح وهذا ما أسعى لمعرفته.

 
(03-01-2023, 10:48 PM)M!X0R كتب : قفزة بعيدة 0xE9 اي 0xE9 XX XX XX XX 
قفزة فصيرة 0xEB أي 0xEB XX

+ بالنسبة للقفزة القصيرة:
اشتغلت جيدا لكنك قمت بكتابة 0xAD بجانب أمر القفز 0xEB, وهو يدل على العنوان الذي سيقفز إليه لكن كيف نحدد العنوان للقفزة القصيرة, كيف تم حساب هذا 0xAD ؟

+ بالنسبة للقفزة البعيدة:
للأسف الـ Address كان أيضا مكتوب خاطئ, وهذا هو الكود الذي استخدمته:
 
unsigned int addr = 0x0048DA03;
unsigned int jumpFarToAddr = 0x0048A512;
unsigned char* hex = new unsigned char[5];
const unsigned char command = 0xE9;
*hex = command;
memcpy(&hex[1], &jumpFarToAddr, sizeof(jumpFarToAddr));
VirtualProtectEx(hProcess, (void*)addr, 20, PAGE_READWRITE, &oldProtect);
WriteProcessMemory(hProcess, (void*)addr, (void*)hex, sizeof(hex), NULL);
VirtualProtectEx(hProcess, (void*)addr, 20, oldProtect, &oldProtect);

والناتج كالتالي:

[صورة مرفقة: 20230105-003909.png]

كما ترى Address خاطئ.
أعضاء أعجبوا بهذه المشاركة :
#10
int addr = 0x0048DA03;
int jumpFarToAddr = 0x0048A512;
unsigned char hex[5];
const unsigned char command = 0xE9;
*hex = command;
int offset = jumpFarToAddr - addr - sizeof(hex);
memcpy(&hex[1], &offset, sizeof(offset));
VirtualProtectEx(hProcess, (void*)addr, 20, PAGE_READWRITE, &oldProtect);
WriteProcessMemory(hProcess, (void*)addr, (void*)hex, sizeof(hex), NULL);
VirtualProtectEx(hProcess, (void*)addr, 20, oldProtect, &oldProtect);
أعضاء أعجبوا بهذه المشاركة :


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 3 ) ضيف كريم