[原创]SysWOW64的奇技淫巧-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]SysWOW64的奇技淫巧

发表于: 2020-7-28 16:29 8494

[原创]SysWOW64的奇技淫巧

NONAME剑人

2020-7-28 16:29

8494

我感觉这玩意儿应该有人写过，但中文互联网怎么搜都搜不到，顺便看了看英文资料。发一个自己的实现好了

这玩意儿用处：

（1）反调试

（2）能让win10 32位程序运行64位代码（其他操作系统的wow64据说实现底层不太一样，不保证同代码能完全运行）

最近在试着转二进制漏洞方向，部署的时候出现了各种版本问题和反复崩溃，看到dynamoRIO下已经有成千的issue，想让开发者来debug肯定是不可能，于是只好自己上了。

在调试的过程中，发现dynamoRIO有一段ASM特别有意思

他是用来在32位程序中执行64位function的一段loader，摘抄见附录

关键的代码只有这么几行

通过一个长跳转，进入CS64_SELECTOR段选择子后，进入64位模式

我试了试摘出来写成汇编，效果非常好。

在OD里不仅分析不出64位的汇编，而且单步会直接跟飞。在windbg里只有单步才能分析出x64的代码

自己写的汇编如下

至于为什么这么改，外网有篇文章（https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html）写得特别好，我就不画蛇添足了，大概把大意翻译过来

首先，长跳转的机制是修改段寄存器CS来进行寻址和改变权限。段寄存器的结构分为selector、TL和RPL，selector代表段寄存器在GDT中对应的index，TL代表应该查局部表还是全局表（LDT/GDT），RPL是权限位。0x23和0x33的段寄存器如下。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・53

免费・11

支持

最新回复 (13)
pureGavin 雪币： 14517 活跃值： (17538) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 2 楼 mark，楼主辛苦了 2020-7-28 16:38 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼看这用处还不错，其实他们好像是可以互相跳的，毕竟指令都支持，只是切下模式，改好运行环境即可 PS：还能有这么折腾的人不多了 2020-7-28 17:21 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 4 楼 zhouws 看这用处还不错，其实他们好像是可以互相跳的，毕竟指令都支持，只是切下模式，改好运行环境即可 PS：还能有这么折腾的人不多了[em_1] 我没试过在raw.x64下能不能切回来，我总感觉syswow64的做的初始化细节、重定位什么的这样直接bypass过去了还是有问题的这年头除了病毒、壳和cm，几乎很少有反调试的场景了 2020-7-28 17:41 0
蜜蜂啊雪币： 7403 活跃值： (2034) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 5 楼大家可以参考 https://github.com/rwfpl/rewolf-wow64ext 这个库 2020-7-28 19:01 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 6 楼蜜蜂啊大家可以参考 https://github.com/rwfpl/rewolf-wow64ext 这个库谢谢大佬！！！ 2020-7-28 23:29 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 7 楼借人气搭车求问一个非常诡异的问题……这个问题是dynamoRIO部署时AMD Ryzen特有的错误，就是和x86/x64切换有关简而言之，在从x64切换回到x86时，dynamoRIO在执行主帖中附录的ASM程序遇到了个奇怪的错误——在程序的第61行pop ebx处出现了Access violation - code c0000005错误。而此时的ss和es值都是正常的。当程序单步调试时，一切正常，然而单独运行就会在这里崩溃 https://github.com/DynamoRIO/dynamorio/issues/4091 非常挠头，别怕又是什么处理器级别的BUG 最后于 2020-7-29 00:12 被NONAME剑人编辑，原因： 2020-7-29 00:08 0
songqy 雪币： 1 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	songqy 8 楼我写过一个工具可以使32bit程序链接64位的lib，最终形成一个32位与64位机器码混合的可执行文件。不过没有开源。 https://github.com/MoePus/wowHijack 这里则是另一个wow64特性的应用，32位程序可以使用WPM函数修改当前线程的eip。 2020-7-29 11:09 0
wujimaa 雪币： 364 活跃值： (1726) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 166 粉丝 1 关注私信	wujimaa 1 9 楼标志,收藏 2020-7-29 11:40 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 10 楼 songqy 我写过一个工具可以使32bit程序链接64位的lib，最终形成一个32位与64位机器码混合的可执行文件。不过没有开源。 https://github.com/MoePus/wowHijack 这里则 ... 感谢！！！！收藏了 2020-7-29 15:43 0
dayday向上8 雪币： 3126 活跃值： (3266) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 47 粉丝 20 关注私信	dayday向上8 2 11 楼希望大佬再次归来能够多多分享，菜鸟mark了 2020-7-29 21:44 0
hhkqqs 雪币： 12352 活跃值： (5874) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 12 楼蜜蜂啊大家可以参考 https://github.com/rwfpl/rewolf-wow64ext 这个库这个库bug不少，尤其是调用某些参数是结构体地址并且要求地址内存对齐的，只能自己malloc一块对齐的内存存放，效率低下，而直接用汇编对齐rsp来存放兼容性又很差，不知道楼主有什么解决方案 2020-7-30 13:06 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 13 楼呵呵 2020-7-30 13:49 0
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 14 楼可以试试：利用CS切入，retf 返回，指令对齐可以利用预配置去设定，或者在跳转R15的时候，Hook掉，重新写执行流程（某个AV就是这么做的）。 2020-7-30 16:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NONAME剑人

发帖

407

回帖

160

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
pureGavin 雪币： 14517 活跃值： (17538) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 2 楼 mark，楼主辛苦了 2020-7-28 16:38 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼看这用处还不错，其实他们好像是可以互相跳的，毕竟指令都支持，只是切下模式，改好运行环境即可 PS：还能有这么折腾的人不多了 2020-7-28 17:21 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 4 楼 zhouws 看这用处还不错，其实他们好像是可以互相跳的，毕竟指令都支持，只是切下模式，改好运行环境即可 PS：还能有这么折腾的人不多了[em_1] 我没试过在raw.x64下能不能切回来，我总感觉syswow64的做的初始化细节、重定位什么的这样直接bypass过去了还是有问题的这年头除了病毒、壳和cm，几乎很少有反调试的场景了 2020-7-28 17:41 0
蜜蜂啊雪币： 7403 活跃值： (2034) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 5 楼大家可以参考 https://github.com/rwfpl/rewolf-wow64ext 这个库 2020-7-28 19:01 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 6 楼蜜蜂啊大家可以参考 https://github.com/rwfpl/rewolf-wow64ext 这个库谢谢大佬！！！ 2020-7-28 23:29 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 7 楼借人气搭车求问一个非常诡异的问题……这个问题是dynamoRIO部署时AMD Ryzen特有的错误，就是和x86/x64切换有关简而言之，在从x64切换回到x86时，dynamoRIO在执行主帖中附录的ASM程序遇到了个奇怪的错误——在程序的第61行pop ebx处出现了Access violation - code c0000005错误。而此时的ss和es值都是正常的。当程序单步调试时，一切正常，然而单独运行就会在这里崩溃 https://github.com/DynamoRIO/dynamorio/issues/4091 非常挠头，别怕又是什么处理器级别的BUG 最后于 2020-7-29 00:12 被NONAME剑人编辑，原因： 2020-7-29 00:08 0
songqy 雪币： 1 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	songqy 8 楼我写过一个工具可以使32bit程序链接64位的lib，最终形成一个32位与64位机器码混合的可执行文件。不过没有开源。 https://github.com/MoePus/wowHijack 这里则是另一个wow64特性的应用，32位程序可以使用WPM函数修改当前线程的eip。 2020-7-29 11:09 0
wujimaa 雪币： 364 活跃值： (1726) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 166 粉丝 1 关注私信	wujimaa 1 9 楼标志,收藏 2020-7-29 11:40 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 10 楼 songqy 我写过一个工具可以使32bit程序链接64位的lib，最终形成一个32位与64位机器码混合的可执行文件。不过没有开源。 https://github.com/MoePus/wowHijack 这里则 ... 感谢！！！！收藏了 2020-7-29 15:43 0
dayday向上8 雪币： 3126 活跃值： (3266) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 47 粉丝 20 关注私信	dayday向上8 2 11 楼希望大佬再次归来能够多多分享，菜鸟mark了 2020-7-29 21:44 0
hhkqqs 雪币： 12352 活跃值： (5874) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 12 楼蜜蜂啊大家可以参考 https://github.com/rwfpl/rewolf-wow64ext 这个库这个库bug不少，尤其是调用某些参数是结构体地址并且要求地址内存对齐的，只能自己malloc一块对齐的内存存放，效率低下，而直接用汇编对齐rsp来存放兼容性又很差，不知道楼主有什么解决方案 2020-7-30 13:06 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 13 楼呵呵 2020-7-30 13:49 0
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 14 楼可以试试：利用CS切入，retf 返回，指令对齐可以利用预配置去设定，或者在跳转R15的时候，Hook掉，重新写执行流程（某个AV就是这么做的）。 2020-7-30 16:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复