当前位置：首页 > news >正文

10.3 调试事件转存进程内存

news 文章来源：https://blog.csdn.net/lyshark_csdn/article/details/133577641 2024/12/16 11:40:12

我们继续延申调试事件的话题，实现进程转存功能，进程转储功能是指通过调试API使获得了目标进程控制权的进程，将目标进程的内存中的数据完整地转存到本地磁盘上，对于加壳软件，通常会通过加密、压缩等手段来保护其代码和数据，使其不易被分析。在这种情况下，通过进程转储功能，可以将加壳程序的内存镜像完整地保存到本地，以便进行后续的分析。

在实现进程转储功能时，主要使用调试API和内存读写函数。具体实现方法包括：以调试方式启动目标进程，将其暂停在运行前的位置；让目标进程进入运行状态；使用ReadProcessMemory函数读取目标进程内存，并将结果保存到缓冲区；将缓冲区中的数据写入文件；关闭目标进程的调试状态。

首先老样子先来看OnException回调事件，当进程被断下时首先通过线程函数恢复该线程的状态，在进程被正确解码并运行起来时直接将该进程的EIP入口地址传递给MemDump();内存转存函数，实现转存功能；

void OnException(DEBUG_EVENT *pDebug, BYTE *bCode)
{CONTEXT context;DWORD dwNum;BYTE bTmp;// 打开当前进程与线程HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pDebug->dwProcessId);printf("[+] 当前打开进程句柄: %d 进程PID: %d \n", hProcess, pDebug->dwProcessId);HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pDebug->dwThreadId);printf("[+] 当前打开线程句柄: %d 线程PPID: %d \n", hThread, pDebug->dwThreadId);// 暂停当前线程SuspendThread(hThread);// 读取出异常产生的首地址ReadProcessMemory(hProcess, pDebug->u.Exception.ExceptionRecord.ExceptionAddress, &bTmp, sizeof(BYTE), &dwNum);printf("[+] 当前异常产生地址为: 0x%08X \n", pDebug->u.Exception.ExceptionRecord.ExceptionAddress);// 设置当前线程上下文，获取线程上下文context.ContextFlags = CONTEXT_FULL;GetThreadContext(hThread, &context);printf("[-] 恢复断点前: EAX = 0x%08X  EIP = 0x%08X \n", context.Eax, context.Eip);// 将刚才的CC断点取消，也就是回写原始的指令集WriteProcessMemory(hProcess, pDebug->u.Exception.ExceptionRecord.ExceptionAddress, bCode, sizeof(BYTE), &dwNum);// 当前EIP减一并设置线程上下文context.Eip--;SetThreadContext(hThread, &context);printf("[+] 恢复断点后: EAX = 0x%08X  EIP = 0x%08X \n", context.Eax, context.Eip);printf("[+] 获取到动态入口点: 0x%08x \n", pDebug->u.CreateProcessInfo.lpBaseOfImage);// 转储内存镜像MemDump(pDebug, context.Eip, (char *)"dump.exe");// 恢复线程ResumeThread(hThread);CloseHandle(hThread);CloseHandle(hProcess);
}

MemDump函数中，首先通过调用CreateFile函数打开me32.szExePath路径也就是转存之前的文件，通过使用VirtualAlloc分配内存空间，分配大小是PE头中文件实际大小，接着OpenProcess打开正在运行的进程，并使用ReadProcessMemory读取文件的数据，此处读取的实在内存中的镜像数据，当读取后手动修正，文件的入口地址，及文件的对齐方式，接着定位PE节区数据，找到节区首地址，并循环将当前节区数据赋值到新文件缓存中，最后当一切准备就绪，通过使用WriteFile函数将转存后的文件写出到磁盘中；

void MemDump(DEBUG_EVENT *pDe, DWORD dwEntryPoint, char *DumpFileName)
{// 得到当前需要操作的进程PIDDWORD dwPid = pDe->dwProcessId;MODULEENTRY32 me32;// 对系统进程拍摄快照HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPid);me32.dwSize = sizeof(MODULEENTRY32);// 得到第一个模块句柄,第一个模块句柄也就是程序的本体BOOL bRet = Module32First(hSnap, &me32);printf("[+] 当前转储原程序路径: %s \n", me32.szExePath);// 打开源文件,也就是dump之前的文件HANDLE hFile = CreateFile(me32.szExePath, GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);if (hFile == INVALID_HANDLE_VALUE)exit(0);// 判断PE文件的有效性IMAGE_DOS_HEADER imgDos = { 0 };IMAGE_NT_HEADERS imgNt = { 0 };DWORD dwReadNum = 0;// 读入当前内存程序的DOS头结构ReadFile(hFile, &imgDos, sizeof(IMAGE_DOS_HEADER), &dwReadNum, NULL);// 判断是否是一个合格的DOS头if (imgDos.e_magic != IMAGE_DOS_SIGNATURE)return;// 设置文件指针到NT头上SetFilePointer(hFile, imgDos.e_lfanew, 0, FILE_BEGIN);ReadFile(hFile, &imgNt, sizeof(IMAGE_NT_HEADERS), &dwReadNum, NULL);// 判断是否是合格的NT头if (imgNt.Signature != IMAGE_NT_SIGNATURE)return;// 得到EXE文件的大小DWORD BaseSize = me32.modBaseSize;printf("[+] 当前内存文件大小: %d --> NT结构原始大小: %d 一致性检测: True \n", BaseSize, imgNt.OptionalHeader.SizeOfImage);// 如果PE头中的大小大于实际内存大小，则以PE头中大小为模板if (imgNt.OptionalHeader.SizeOfImage > BaseSize){BaseSize = imgNt.OptionalHeader.SizeOfImage;}// 分配内存空间，分配大小是PE头中文件实际大小，并打开进程LPVOID pBase = VirtualAlloc(NULL, BaseSize, MEM_COMMIT, PAGE_READWRITE);printf("[+] 正在分配转储空间 句柄: %d \n", pBase);HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);// 读取文件的数据，此处读取的实在内存中的镜像数据bRet = ReadProcessMemory(hProcess, me32.modBaseAddr, pBase, me32.modBaseSize, NULL);// 判断PDOS头的有效性PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pBase;if (pDos->e_magic != IMAGE_DOS_SIGNATURE)return;// 计算出NT头数据PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + (PBYTE)pBase);if (pNt->Signature != IMAGE_NT_SIGNATURE)return;// 设置文件的入口地址pNt->OptionalHeader.AddressOfEntryPoint = dwEntryPoint - pNt->OptionalHeader.ImageBase;printf("[*] 正在设置Dump文件相对RVA入口地址: 0x%08X \n", pNt->OptionalHeader.AddressOfEntryPoint);// 设置文件的对齐方式pNt->OptionalHeader.FileAlignment = 0x1000;printf("[*] 正在设置Dump文件的对齐值: %d \n", pNt->OptionalHeader.FileAlignment);// 找到节区首地址,并循环将当前节区数据赋值到新文件缓存中PIMAGE_SECTION_HEADER pSec = (PIMAGE_SECTION_HEADER)((PBYTE)&pNt->OptionalHeader + pNt->FileHeader.SizeOfOptionalHeader);for (int i = 0; i < pNt->FileHeader.NumberOfSections; i++){pSec->PointerToRawData = pSec->VirtualAddress;printf("[+] 正在将虚拟地址: 0x%08X --> 设置到文件地址: 0x%08X \n", pSec->VirtualAddress, pSec->PointerToRawData);pSec->SizeOfRawData = pSec->Misc.VirtualSize;printf("[+] 正在将虚拟大小: %d --> 设置到文件大小: %d \n", pSec->Misc.VirtualSize, pSec->SizeOfRawData);pSec++;}CloseHandle(hFile);// 打开转储后的文件.hFile = CreateFile(DumpFileName, GENERIC_WRITE, FILE_SHARE_READ, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0);if (hFile == INVALID_HANDLE_VALUE)exit(0);printf("[*] 转储 %s 文件到本地 \n", DumpFileName);DWORD dwWriteNum = 0;// 将读取的数据写入到文件bRet = WriteFile(hFile, pBase, me32.modBaseSize, &dwWriteNum, NULL);if (dwWriteNum != me32.modBaseSize || FALSE == bRet)printf("写入错误 !");// 关闭于释放资源CloseHandle(hFile);VirtualFree(pBase, me32.modBaseSize, MEM_RELEASE);CloseHandle(hProcess);CloseHandle(hSnap);
}

读者可自行运行这段程序，当程序运行后即可将指定的一个文件内存数据完整的转存到磁盘中，输出效果如下图所示；

本文作者：王瑞
本文链接： https://www.lyshark.com/post/5e2f7b11.html
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！

10.3 调试事件转存进程内存

相关文章：

10.3 调试事件转存进程内存

深度学习实战基础案例——卷积神经网络（CNN）基于MobileNetV3的肺炎识别|第3例

机器学习面试/笔试题（更新中）

【算法题】100019. 将数组分割成最多数目的子数组

commons-io工具类常用方法

【Typescript】面向对象（上篇），包含类，构造函数，继承，super，抽象类

【python】python中字典的用法记录

基于Java的大学生心理咨询系统设计与实现(源码+lw+部署文档+讲解等)

Redis-双写一致性

CustomTkinter：创建现代、可定制的Python UI

华为OD机试真题【不含 101 的数】

Spring IoC和DI详解

mysql-binlog

通过BeanFactotyPostProcessor动态修改@FeignClient的path

数据结构与算法系列-二分查找

CSS 毛玻璃特效运用目录

如何在Qt6中引入Network模块

2023/10/4 QT实现TCP服务器客户端搭建

云原生边缘计算KubeEdge安装配置

【LeetCode热题100】--35.搜索插入位置

mysql面试题13：MySQL中什么是异步复制？底层实现？

SpringBoot-Shiro安全权限框架

PostgreSQL基础语法

编程前置：处理Excel表格，定位单元格位置，输入文字前，让AI机器人知道我说什么

Linux基本指令介绍系列第四篇

读取vivo手机截图尺寸移动.jpg等文件

Web前端-Vue2+Vue3基础入门到实战项目-Day2(指令补充, computed计算属性, watch侦听器, 水果购物车)

ffmpeg之去除视频水印

第二章线性表

Java 超高频常见字符操作【建议收藏】

微信分销平台哪家好/抖音seo推荐算法

2345中国最好的网址站/郑州网络营销公司哪个好

济南seo网站推广/百度主页

网站开发兼职项目/自动推广引流app

比较好的网站开发框架/北京seo外包靠谱

医疗营销网站建设/长沙互联网推广公司