设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 源码分享 【C】wow64 切 w64
返回列表 发新帖
查看: 3124|回复: 5

【C】wow64 切 w64

[复制链接]
Ayala
发表于 2017-3-19 11:46:41 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
本帖最后由 Ayala 于 2017-3-22 10:41 编辑

  2. #define __STDC__ 1
  3. #include "ntddk.h"
  4. #include "ntimage.h"

  6. /***********************************************************************/
  7. /* shell code start */
  8. /* linker command must append /MERGE:S_CODE=S_DATA /SECTION:S_DATA,RWE */
  9. /***********************************************************************/
  10. void GetRing3Base_m();
  11. /*shellcode Global DATA*/

  13. #pragma data_seg("S_DATA")

  15. __int64    shell_data_sign_S=0;//sign data
  16. __int64     k_Base=0;
  17. __int64     n_Base=0;
  18. __int64    shell_data_sign_E=0; //sign data

  20. #pragma code_seg("S_CODE")

  22. /*shlleocde entry*/
  23. int shell_start(__int64* pf,char** pfn,__int64 pfmax)        // sign code start
  24. {
  25.         __int64 i;
  26.         GetRing3Base_m();
  27.         for (i=0;i<pfmax;i++)
  28.         {
  29.                 GetProcAddress_m(n_Base,pfn[i],&pf[i]);
  30.         }
  31.         
  32.         return i;
  33. }

  35. int strlen_m(char* s)
  36. {
  37.   int i=0;
  38.   for(;s[i++];);
  39.   return i;
  40. }

  42. int strcmp_m(char* s1,char* s2)
  43. {
  44.   int t,ta,tb;
  45.   t|=-1;
  46.   ta=strlen_m(s1);
  47.   tb=strlen_m(s2);
  48.   if (ta==tb)
  49.   {
  50.     t=ta;
  51.     do
  52.     {
  53.       --t;
  54.     }while (t>=0 && s1[t]==s2[t]);
  55.     t++;
  56.   }
  57.   return t;
  58. }

  60. /*get kernel32 and ntdll base*/
  61. void GetRing3Base_m()
  62. {
  63. __int64 p;
  64.    p=*(__int64*)(*(__int64*)(*(__int64 *)(__readgsqword(0x30)+0x60)+0x18)+0x30);
  65.    n_Base=*(__int64*)(p+0x10);
  66.    k_Base=*(__int64*)(*(__int64*)(*(__int64*)p)+0x10);
  67. }
  68. int GetProcAddress_m(__int64 base,char* FuncName,__int64* FuncAddr)
  69. {
  70.   __int64 addr=0;
  71.   __int32* AddressOfNames;
  72.   __int32* AddressOfFunctions;
  73.   __int16* AddressOfNameOrdinals;
  74.   IMAGE_DOS_HEADER*         DOS_HEADER;
  75.   IMAGE_NT_HEADERS64*       NT_HEADER;
  76.   IMAGE_OPTIONAL_HEADER64*  OptionalHeader;
  77.   IMAGE_EXPORT_DIRECTORY*   Export;
  78.   int i,n,t;
  79.   char* Dst;
  80.   char* Src;
  81.   
  82.   if (!base || !FuncName) goto done;
  83.   DOS_HEADER=(IMAGE_DOS_HEADER*)(__int64)base;
  84.   if (DOS_HEADER->e_magic!='ZM') goto done;
  85.   
  86.   NT_HEADER = (IMAGE_NT_HEADERS64*)((__int64)DOS_HEADER +(__int64)DOS_HEADER->e_lfanew);
  87.   
  88.   if (NT_HEADER->Signature!='EP') goto done;
  89.   
  90.   OptionalHeader=&NT_HEADER->OptionalHeader;
  91.   
  92.   if (OptionalHeader->Magic!=0x20B) goto done;//pe 64
  93.   
  94.   Export = (IMAGE_EXPORT_DIRECTORY*)(\
  95.             (__int64)DOS_HEADER + \
  96.             (__int64)(OptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)\
  97.             );
  98.   t=Export->NumberOfNames;
  99.   AddressOfNameOrdinals =(__int16*)((__int64)DOS_HEADER + (__int64)Export->AddressOfNameOrdinals);
  100.   AddressOfNames        =(__int32*)((__int64)DOS_HEADER + (__int64)Export->AddressOfNames);
  101.   AddressOfFunctions    =(__int32*)((__int64)DOS_HEADER + (__int64)Export->AddressOfFunctions);
  102.   Src=FuncName;
  103.   for (i=0;i<t;i++)
  104.   {
  105.     Dst=(char*)((__int64)DOS_HEADER + AddressOfNames[i]);
  106.     if (Dst[0]==Src[0]&& strcmp_m(Src,Dst)==0)
  107.     {
  108.       n=AddressOfNameOrdinals[i];
  109.       addr=(__int64)DOS_HEADER+AddressOfFunctions[n];
  110.       goto done;
  111.     }
  112.   }
  113. done:
  114.   *FuncAddr=addr;
  115.   return (addr?1:0);
  116. }


  119. #pragma code_seg()
  120. #pragma data_seg()

  122. #include "..\beaengine\headers\BeaEngine.h"

  124. struct FILE* __cdecl fopen();

  126. main()
  127. {
  128.         DISASM diasm={0};
  129.         struct FILE* file=fopen("shellcode.h","wt+");
  130.         __int64 i,j,k;
  131.         
  132.         printf("shellcode start %llx \nend %llx \ndata start %llx \nlength = %d\n",\
  133.                         &shell_start,\
  134.                         &shell_data_sign_S,\
  135.                         &shell_data_sign_E,\
  136.                         (__int64)&shell_data_sign_S-(__int64)&shell_start);
  137.         
  138.         fprintf(file,"unsigned char shellcode[] = {\n");
  139.         for (diasm.Archi=64,k=(__int64)&shell_start;k < (__int64)&shell_data_sign_S;k+=j)
  140.         {
  141.                 diasm.EIP=k;
  142.                 j=Disasm(&diasm);
  143.                 fprintf(file,"\t\t");
  144.                 for (i=0;i<j;i++) fprintf(file,"0x%.2X,",*(unsigned char*)(k+i));
  145.                 fprintf(file,"% *s\t// %s\n",max(50-j*5,0),"",&diasm.CompleteInstr);
  146.         }
  147.         
  148.         for (j=8,k=(__int64)&shell_data_sign_S;k<(__int64)&shell_data_sign_E;k+=j)
  149.         {
  150.                 fprintf(file,"\t\t");
  151.                 for (i=0;i<j;i++) fprintf(file,"0x%.2X,",*(unsigned char*)(k+i));
  152.                 fprintf(file,"\n");
  153.         }
  154.         fprintf(file,"\t\t0\n};\n");
  155.         
  156.         fprintf(file,"#define wow64GetProcAddress_m &shellcode[0x%lx]\n",(char*)&GetProcAddress_m - (char*)&shell_start);
  157.         fprintf(file,"#define wow64GetRing3Base_m   &shellcode[0x%lx]\n",(char*)&GetRing3Base_m - (char*)&shell_start);
  158.         fprintf(file,"#define wow64kernel32_64 &shellcode[0x%lx]\n",(char*)&k_Base - (char*)&shell_start);
  159.         fprintf(file,"#define wow64ntdll_64    &shellcode[0x%lx]\n",(char*)&n_Base - (char*)&shell_start);
  160.         
  161.         
  162.         fclose(file);

  164.         system("pause");
  165. }
复制代码

用wrk自带tool编译可以不会打乱变量声明顺序

  2. @echo off
  3. :re
  4. cls
  5. echo /*********************************************/
  6. echo /             shellcode                       /
  7. echo /*********************************************/
  8. set path=F:\WinDDK\7600.16385.1
  9. set obj=obj\amd64\BeaEngine.obj

  11. set Compiler=.\tools\amd64\cl.exe
  12. set linker=.\tools\amd64\link.exe

  14. set ddkCompiler=%path%\bin\x86\amd64\cl.exe
  15. set ddklinker=%path%\bin\x86\amd64\link.exe

  17. set name=shellcode

  19. %Compiler% .\src\%name%.c /D"_AMD64_" /I"%path%\inc\ddk" /I"%path%\inc\api" /I"%path%\inc\crt" /Fa"Debug\%name%.asm" /Fo"Debug\%name%.obj" /c /wd"4615" /wd"4616" /D"BEA_ENGINE_STATIC" /Od

  21. echo /*********************************************/
  22. echo /            compile end                      /
  23. echo /*********************************************/


  26. %linker% .\Debug\%name%.obj %obj% /MERGE:S_CODE=S_DATA /SECTION:S_DATA,RWE /LIBPATH:"%path%\lib\win7\amd64" /LIBPATH:"%path%\lib\Crt\amd64"  /OUT:"Debug\%name%.exe" /SUBSYSTEM:CONSOLE /MACHINE:AMD64 /IGNORE:4078
  27. echo /*********************************************/
  28. echo /            build end                        /
  29. echo /*********************************************/


  32. pause

  34. goto re
复制代码

  1. #include "shellcode.h"
  2. #include "wow64.h"

  4. __int64 _thunk_w64_data_list[]={
  5.         (__int64)wow64ntdll_64,
  6.         (__int64)wow64kernel32_64
  7. };

  9. __int64 _thunk_w64_func_list[index_wow64_max]={
  10.         0
  11. };
  12. __int64 _thunk_w64_args_list[index_wow64_max]={
  13.         8*32
  14. };



  18. void __declspec(naked) __fastcall _thunk_wow64_dispatch()
  19. {
  20.         __asm ret
  21. }
  22. void __declspec(naked) __fastcall _thunk_w64_to_wow64()
  23. {
  24.         __asm
  25.         {
  26.                 mov esp,ebx
  27.                 inc eax
  28.                 mov ebx,[esp]
  29.                 add esp,8
  30.                
  31.                 sub esp,8
  32.                 mov dword ptr [esp+0],offset _thunk_wow64_dispatch
  33.                 mov dword ptr [esp+4],23h
  34.                 retf
  35.         }
  36. }
  37. void __declspec(naked)  __fastcall _thunk_w64_invoke()
  38. {
  39.         __asm
  40.         {
  41.                
  42.                 cmp dword ptr [esp],8*1
  43.                 dec eax
  44.                 cmovae ecx,[esp+0x10]
  45.                
  46.                 cmp dword ptr [esp],8*2
  47.                 dec eax
  48.                 cmovae edx,[esp+0x18]
  49.                
  50.                 cmp dword ptr [esp],8*3
  51.                 dec esp
  52.                 cmovae eax,[esp+0x20]
  53.                
  54.                 cmp dword ptr [esp],8*4
  55.                 dec esp
  56.                 cmovae ecx,[esp+0x28]
  57.                
  58.                 add esp,8
  59.                 dec eax
  60.                 jmp eax
  61.         }
  62. }

  64. void __declspec(naked) __fastcall _thunk_wow64_to_w64()
  65. {
  66.         __asm
  67.         {
  68.                 sub esp,8
  69.                 mov [esp],ebx
  70.                 mov ebx,esp
  71.                
  72.                 /*alloc stack*/
  73.                 mov ecx,dword ptr _thunk_w64_args_list[eax*8]
  74.                 sub esp,ecx
  75.                 and esp,-16
  76.                
  77.                 /*strmov args*/
  78.                 mov edi,esp
  79.                 mov esi,edx
  80.                 rep movsb
  81.                
  82.                 /*set return address*/
  83.                 sub esp,8
  84.                 mov dword ptr [esp],offset _thunk_w64_to_wow64
  85.                 mov dword ptr [esp+4],0
  86.                
  87.                 /*log args*/
  88.                 mov ecx,dword ptr _thunk_w64_args_list[eax*8]
  89.                 sub esp,8
  90.                 mov [esp],ecx

  92.                 /*set tag func*/
  93.                 mov eax,dword ptr _thunk_w64_func_list[eax*8]
  94.                
  95.                 /*jmp tag proc*/
  96.                 sub esp,8
  97.                 mov dword ptr [esp+0],offset _thunk_w64_invoke
  98.                 mov dword ptr [esp+4],33h
  99.                 retf
  100.         }
  101. }

  103. void __declspec(naked) wow64initEx(__int64 pf,__int64 pfn,__int64 pfmax)
  104. {
  105.         __asm
  106.         {
  107.                 lea edx,[esp+4]
  108.                 xor eax,eax
  109.                 call _thunk_wow64_to_w64
  110.                 ret
  111.         }
  112. }


  115. void wow64init()
  116. {
  117.         _thunk_w64_func_list[0]=(__int64)&shellcode;
  118.         _thunk_w64_args_list[0]=3*8;
  119.         wow64initEx((__int64)&_thunk_w64_func_list,(__int64)&_thunk_w64_pfn_list,(__int64)index_wow64_max);
  120. }



  124. #define w64bywow64(_s_) \
  125. int __declspec(naked) wow64 ## _s_ ## () \
  126. { \
  127.         __asm lea edx,[esp+4] \
  128.         __asm mov eax,index ## _s_ \
  129.         __asm call _thunk_wow64_to_w64 \
  130.         __asm ret \
  131. }



  135. int main()
  136. {
  137.         int i;
  138.         //__asm int 3
  139.         wow64init();
  140.         //__asm int 3
  141.         for (i=0;i<index_wow64_max;i++)
  142.         {
  143.                 printf("0x%llx   %s\n",_thunk_w64_func_list[i],_thunk_w64_pfn_list[i]);
  144.         }
  145.         
  146.         printf("done\n");
  147.         system("pause");
  148.         return 0;
  149. }
复制代码

beaengine.obj source
https://github.com/BeaEngine/beaengine
wow64, shlleocde, C语言

hello_world.c

4.85 KB, 下载次数: 0

shellcode.c

8.71 KB, 下载次数: 0

wow64.h

47.47 KB, 下载次数: 0

shellcode.h

19.76 KB, 下载次数: 0

BeaEngine.obj

506.13 KB, 下载次数: 1

本帖被以下淘专辑推荐:

相关帖子
回复

使用道具 举报

0xAA55
发表于 2017-3-21 21:48:38 | 显示全部楼层
居然有obj
回复

使用道具 举报

Ayala
 楼主| 发表于 2017-3-21 23:36:09 | 显示全部楼层
0xAA55 发表于 2017-3-21 21:48
居然有obj

经典反汇编引擎!
回复 赞! 靠!

使用道具 举报

0xAA55
发表于 2017-3-22 06:14:07 | 显示全部楼层
Ayala 发表于 2017-3-21 23:36
经典反汇编引擎!

嗯我知道这玩意儿。
回复 赞! 靠!

使用道具 举报

besteast
发表于 2017-3-22 20:24:52 | 显示全部楼层
回复

使用道具 举报

besteast
发表于 2017-3-22 20:25:25 | 显示全部楼层
回复

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-11-21 21:27 , Processed in 0.048047 second(s), 29 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表