Builder.cz - Informacni server o programovani

no každý proces na x64 může z důvodu kompatibility vytvořit tzv. virtuální x86 proces

takže pokud si injektuješ zavaděč třeba x64 a pak injektuješ x32 ale jeho zavedení zajistí dříve injektovaný x64 tak nebude problém.

podrobně je to popsáno v

http://www.fi.muni.cz/usr/brandejs/Brandejs_Mikroprocesory_Intel_8086_80486_2010.pdf
a hlavně v pozdější verzi knihy s názvem Intel Pentium a spol.

příklady v ASM a C sou na WEB stránkách Intelu

no každý proces na x64 může z důvodu kompatibility vytvořit tzv. virtuální x86 proces takže pokud si injektuješ zavaděč třeba x64 a pak injektuješ x32 ale jeho zavedení zajistí dříve injektovaný x64 tak nebude problém. podrobně je to popsáno v http://www.fi.muni.cz/usr/brandejs/Brandejs_Mikroprocesory_Intel_8086_80486_2010.pdf a hlavně v pozdější verzi knihy s názvem Intel Pentium a spol. příklady v ASM a C sou na WEB stránkách Intelu

Citovat příspěvek

Zdravim,
pokusam sa o injektovanie x86 kodu do vzdialeneho x64 procesu a nasledne spustenie vlakna kde bude tento kod bezat. x86 do x86 mi funguje bezproblemov, pri pokuse o vytvorenie vzdieleneho vlakna v x64 procese (CreateRemoteThread) mi ale aplikacia padala s chybovym kodom 5. To sa mi podarilo vyriesit pouzitim tohto triku https://dev.metasploit.com/redmine/projects/framework/repository/revisions/master/entry/external/source/meterpreter/source/common/arch/win/i386/base_inject.c
Je tam ale uvedene: "Note: You must inject a DLL of the correct target process architecture, (e.g. a PE32 DLL for an x86 (wow64) process or a PE64 DLL for an x64 process)." -- cize musel by som mat dve verzie toho isteho programu a injektovat ich podla toho, ci je vzdialeny proces x86 alebo x64.

Moja otazka teda znie -- da sa to nejak obist, aby mi stacil jeden kus x86 kodu a ten som nejako spustil v x64 procese? Docital som sa, ze by malo byt mozne prepnut x64 procesor tak, aby spracovaval instrukcie ako x86 (nejaky druh emulacie?). No, moc mudry z toho nie som, s assemblerom si velmi nerozumiem. Viete mi niekto poradit alebo ma odporucit na nejaky dobry zdroj informacii?

Diky.

Zdravim, pokusam sa o injektovanie x86 kodu do vzdialeneho x64 procesu a nasledne spustenie vlakna kde bude tento kod bezat. x86 do x86 mi funguje bezproblemov, pri pokuse o vytvorenie vzdieleneho vlakna v x64 procese (CreateRemoteThread) mi ale aplikacia padala s chybovym kodom 5. To sa mi podarilo vyriesit pouzitim tohto triku https://dev.metasploit.com/redmine/projects/framework/repository/revisions/master/entry/external/source/meterpreter/source/common/arch/win/i386/base_inject.c Je tam ale uvedene: "Note: You must inject a DLL of the correct target process architecture, (e.g. a PE32 DLL for an x86 (wow64) process or a PE64 DLL for an x64 process)." -- cize musel by som mat dve verzie toho isteho programu a injektovat ich podla toho, ci je vzdialeny proces x86 alebo x64. Moja otazka teda znie -- da sa to nejak obist, aby mi stacil jeden kus x86 kodu a ten som nejako spustil v x64 procese? Docital som sa, ze by malo byt mozne prepnut x64 procesor tak, aby spracovaval instrukcie ako x86 (nejaky druh emulacie?). No, moc mudry z toho nie som, s assemblerom si velmi nerozumiem. Viete mi niekto poradit alebo ma odporucit na nejaky dobry zdroj informacii? Diky.

Citovat příspěvek