1. дома
  2. Вопрос и ответ
  3. Win 64bit GetThreadContext возвращает нулевые регистры или код ошибки 0x57

Win 64bit GetThreadContext возвращает нулевые регистры или код ошибки 0x57

2013-07-06 2 views
3

Я работаю над 64-разрядной машиной Windows 7 (у меня есть admin privs).Win 64bit GetThreadContext возвращает нулевые регистры или код ошибки 0x57

Я использую Python 2.7 (64-разрядный) с PyDev ctypes для Eclipse, чтобы попробовать и прочитать значения регистров во всех потоках, связанных с определенным PID (пробовал оба PID процессов, работающих в режимах 64 и 32 бит) , но когда я это делаю, значения для регистров все нулевые. Когда я использую Wow64GetThreadContext, вызов завершается с GetLastError возвращения 0x00000057 («недопустимые параметры» в соответствии с MSDN)

прилагаю к процессу успешно, перечислить темы (через CreateToolhelp32Snapshot), найти темы, которые принадлежат процессу с соответствующий PID и попытаться получить контекст потока. Вот мой код для открытия нить и получить контекст потока:

Открытие резьбы:

def open_thread(self, thread_id): 
    h_thread = kernel32.OpenThread(THREAD_ALL_ACCESS, None, thread_id)

Получение контекста:

def get_thread_context(self, thread_id = None, h_thread = None): 

    context = CONTEXT() 
    context.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS 

    #alternatively, for 64 
    context64 = WOW64_CONTEXT() 
    context64.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS 

    #Obtain a handle to the thread 
    if h_thread is None: 
     self.h_thread = self.open_thread(thread_id) 

    kernel32.SuspendThread(self.h_thread) 

    if kernel32.GetThreadContext(self.h_thread, byref(context)): 
     kernel32.ResumeThread(self.h_thread) 
     return context 
    else: 
     kernel32.ResumeThread(self.h_thread) 
     return False

Я называю этот код с помощью:

debugger.attach(int(pid)) 

#debugger.run() 

list = debugger.enumerate_threads() 

for thread in list: 
thread_context = debugger.get_thread_context(thread) 

    if thread_context == False: 
     print "[*] Thread context is false..." 
    else: 
     print "[*] Dumping registers for thread ID: 0x%08x" % thread 
     print "[**] Eip: 0x%016x" % thread_context.Eip 
     print "[**] Esp: 0x%016x" % thread_context.Esp 
     print "[**] Ebp: 0x%016x" % thread_context.Ebp 
     print "[**] Eax: 0x%016x" % thread_context.Eax 
     print "[**] Ebx: 0x%016x" % thread_context.Ebx 
     print "[**] Ecx: 0x%016x" % thread_context.Ecx 
     print "[**] Edx: 0x%016x" % thread_context.Edx 
     print "[*] End DUMP" 

debugger.detach()

Когда я запускаю этот код с помощью GetThreadContext с помощью структуры CONTEXT, я получаю контекстный объект bac k для каждого потока, но значения регистра равны нулю.

Я попытался заменить GetThreadContext с Wow64GetThreadContext (и, соответственно, SuspendThread с Wow64SuspendThread), но когда я делаю это, то вызов с ошибкой "неправильными параметрами. Аргументы, которые я даю Wow64GetThreadContext, являются такими же, как те, которые я даю GetThreadContext, кроме имени переменных в предоставленном мной коде (это потому, что когда я смотрел их определения в WinNT.h, они были эквивалентными (если только я не пропустил . что-то) я определил эти структуры следующим образом:

class WOW64_CONTEXT(Structure): 
_fields_ = [ 

    ("ContextFlags", DWORD), 
    ("Dr0", DWORD), 
    ("Dr1", DWORD), 
    ("Dr2", DWORD), 
    ("Dr3", DWORD), 
    ("Dr6", DWORD), 
    ("Dr7", DWORD), 
    ("FloatSave", WOW64_FLOATING_SAVE_AREA), 
    ("SegGs", DWORD), 
    ("SegFs", DWORD), 
    ("SegEs", DWORD), 
    ("SegDs", DWORD), 
    ("Edi", DWORD), 
    ("Esi", DWORD), 
    ("Ebx", DWORD), 
    ("Edx", DWORD), 
    ("Ecx", DWORD), 
    ("Eax", DWORD), 
    ("Ebp", DWORD), 
    ("Eip", DWORD), 
    ("SegCs", DWORD), 
    ("EFlags", DWORD), 
    ("Esp", DWORD), 
    ("SegSs", DWORD), 
    ("ExtendedRegisters", BYTE * 512), 
] 

class WOW64_FLOATING_SAVE_AREA(Structure): 
_fields_ = [ 

    ("ControlWord", DWORD), 
    ("StatusWord", DWORD), 
    ("TagWord", DWORD), 
    ("ErrorOffset", DWORD), 
    ("ErrorSelector", DWORD), 
    ("DataOffset", DWORD), 
    ("DataSelector", DWORD), 
    ("RegisterArea", BYTE * 80), 
    ("Cr0NpxState", DWORD), 
] 

class CONTEXT(Structure): 
_fields_ = [ 

    ("ContextFlags", DWORD), 
    ("Dr0", DWORD), 
    ("Dr1", DWORD), 
    ("Dr2", DWORD), 
    ("Dr3", DWORD), 
    ("Dr6", DWORD), 
    ("Dr7", DWORD), 
    ("FloatSave", FLOATING_SAVE_AREA), 
    ("SegGs", DWORD), 
    ("SegFs", DWORD), 
    ("SegEs", DWORD), 
    ("SegDs", DWORD), 
    ("Edi", DWORD), 
    ("Esi", DWORD), 
    ("Ebx", DWORD), 
    ("Edx", DWORD), 
    ("Ecx", DWORD), 
    ("Eax", DWORD), 
    ("Ebp", DWORD), 
    ("Eip", DWORD), 
    ("SegCs", DWORD), 
    ("EFlags", DWORD), 
    ("Esp", DWORD), 
    ("SegSs", DWORD), 
    ("ExtendedRegisters", BYTE * 512), 
] 

class FLOATING_SAVE_AREA(Structure): 
_fields_ = [ 

    ("ControlWord", DWORD), 
    ("StatusWord", DWORD), 
    ("TagWord", DWORD), 
    ("ErrorOffset", DWORD), 
    ("ErrorSelector", DWORD), 
    ("DataOffset", DWORD), 
    ("DataSelector", DWORD), 
    ("RegisterArea", BYTE * 80), 
    ("Cr0NpxState", DWORD), 
]

Я сделал изрядное количество прибегая к помощи по этому вопросу, и попытался следующие без толку:

  • Согласно к комментарию по MSDN: CONTEXT_FULL должно быть CONTEXT_AMD64 | CONTEXT_CONTROL | CONTEXT_INTEGER | CONTEXT_FLOATING_POINT для корректной работы с Win64.

  • Я попытался переименования регистров в моем КОНТЕКСТЕ и WOW_64CONTEXT структуры, заменив «E» в названиях регистров с «R» (EAX -> Ракс и т.д.)

Кто-нибудь еще использовал Python с ctypes, чтобы успешно получить контекст 64-разрядного потока в Windows?

источник

2013-07-06 bl4ckmes4

+0

@cghlke Да, я просто попробовал это безрезультатно. Я все еще вижу коды ошибок 0x57. – bl4ckmes4

+0

http://go4answers.webhost4life.com/Example/visual-studio-2010-101539.aspx: результат google (0x57 = 87), показывающий, что это вряд ли связано с Python –

+0

Согласен. Кто-нибудь знает, как разрешить это, или если что-то с вышеприведенным кодом неверно/неполно? – bl4ckmes4

ответ

4

Основная проблема заключается в том, что WOW64 на самом деле является 32-битным контекстом, а не 64-битным. Вы должны реализовать 64 разрядную структуру, подобную этой:

class CONTEXT64(Structure): 
_pack_ = 16 
_fields_ = [ 
    ("P1Home", DWORD64), 
    ("P2Home", DWORD64), 
    ("P3Home", DWORD64), 
    ("P4Home", DWORD64), 
    ("P5Home", DWORD64), 
    ("P6Home", DWORD64), 

    ("ContextFlags", DWORD), 
    ("MxCsr", DWORD), 

    ("SegCs", WORD), 
    ("SegDs", WORD), 
    ("SegEs", WORD), 
    ("SegFs", WORD), 
    ("SegGs", WORD), 
    ("SegSs", WORD), 
    ("EFlags", DWORD), 

    ("Dr0", DWORD64), 
    ("Dr1", DWORD64), 
    ("Dr2", DWORD64), 
    ("Dr3", DWORD64), 
    ("Dr6", DWORD64), 
    ("Dr7", DWORD64), 

    ("Rax", DWORD64), 
    ("Rcx", DWORD64), 
    ("Rdx", DWORD64), 
    ("Rbx", DWORD64), 
    ("Rsp", DWORD64), 
    ("Rbp", DWORD64), 
    ("Rsi", DWORD64), 
    ("Rdi", DWORD64), 
    ("R8", DWORD64), 
    ("R9", DWORD64), 
    ("R10", DWORD64), 
    ("R11", DWORD64), 
    ("R12", DWORD64), 
    ("R13", DWORD64), 
    ("R14", DWORD64), 
    ("R15", DWORD64), 
    ("Rip", DWORD64), 

    ("DebugControl", DWORD64), 
    ("LastBranchToRip", DWORD64), 
    ("LastBranchFromRip", DWORD64), 
    ("LastExceptionToRip", DWORD64), 
    ("LastExceptionFromRip", DWORD64), 

    ("DUMMYUNIONNAME", DUMMYUNIONNAME), 

    ("VectorRegister", M128A * 26), 
    ("VectorControl", DWORD64) 
]

Примечание: Это определение находится в WinNT.h - если у вас есть VC++ установлен, то он будет в/включать каталог, в котором он установлен.

После создания этой структуры вы используете это вместо CONTEXT/WOW64 CONTEXT, который вы создали. Вы должны будете также, очевидно, изменить регистры RAX и т.д.

(Примечание: Есть 4 других вещей, которые вы должны реализовать в Python ctypes, а также:. DWORD64, M128A, DUMMYUNIONNAME, DUMMYSTRUCTNAME и XMM_SAVE_AREA32 Для краткости я исключил их, но вы можете найти их определения в следующих местах, чтобы построить их самостоятельно:

DWORD64: просто c_ulonglong

DUMMYUNIONNAME, DUMMYSTRUCTNAME: в WinNT.h в _CONTEXT структуры

M128A: http://winappdbg.sourceforge.net/doc/v1.3/winappdbg.win32.defines.M128A-class.html

XMM_SAVE_AREA32: http://winappdbg.sourceforge.net/doc/v1.3/winappdbg.win32.context_amd64.XMM_SAVE_AREA32-class.html

источник

2013-09-04 19:25:00 Justin

+0

Вам также нужно проверить, является ли ваш целевой процесс 32-разрядным или 64-разрядным. Если вы 64-битный процесс и ваша цель 32-бит, то используйте Wow64GetThreadContext и передайте WOW64_CONTEXT. Если вы являетесь 64-битным процессом, а ваша цель - 64-разрядной, используйте GetThreadContext и передайте 64-разрядный КОНТЕКСТ (как указано выше). Если вы 32-разрядный процесс, а ваша цель - 32-разрядная, то используйте GetThreadContext и передайте 32-битный КОНТЕКСТ (который совпадает с WOW64_CONTEXT). Если вы 32-разрядный процесс, а ваша цель - 64-битная, я думаю, вам не повезло. – Sam

1

Я тоже была эта проблема, я теперь эту работу, я полагаю, что это из питона книги Gray Hat, после того, как много прибегая к помощи оказалось, что Wow64GetThreadContext используется для получения 32-битных потоков контексты на 64 разрядная система, я использовал оригинальную функцию GetThreadContext, но я прошел его Wow64Context структура определяется следующим образом:

class M128A(Structure): 
    _fields_ = [ 
      ("Low", DWORD64), 
      ("High", DWORD64) 
      ] 

class XMM_SAVE_AREA32(Structure): 
    _pack_ = 1 
    _fields_ = [ 
       ('ControlWord', WORD), 
       ('StatusWord', WORD), 
       ('TagWord', BYTE), 
       ('Reserved1', BYTE), 
       ('ErrorOpcode', WORD), 
       ('ErrorOffset', DWORD), 
       ('ErrorSelector', WORD), 
       ('Reserved2', WORD), 
       ('DataOffset', DWORD), 
       ('DataSelector', WORD), 
       ('Reserved3', WORD), 
       ('MxCsr', DWORD), 
       ('MxCsr_Mask', DWORD), 
       ('FloatRegisters', M128A * 8), 
       ('XmmRegisters', M128A * 16), 
       ('Reserved4', BYTE * 96) 
       ] 

class DUMMYSTRUCTNAME(Structure): 
    _fields_=[ 
       ("Header", M128A * 2), 
       ("Legacy", M128A * 8), 
       ("Xmm0", M128A), 
       ("Xmm1", M128A), 
       ("Xmm2", M128A), 
       ("Xmm3", M128A), 
       ("Xmm4", M128A), 
       ("Xmm5", M128A), 
       ("Xmm6", M128A), 
       ("Xmm7", M128A), 
       ("Xmm8", M128A), 
       ("Xmm9", M128A), 
       ("Xmm10", M128A), 
       ("Xmm11", M128A), 
       ("Xmm12", M128A), 
       ("Xmm13", M128A), 
       ("Xmm14", M128A), 
       ("Xmm15", M128A) 
       ] 


class DUMMYUNIONNAME(Union): 
    _fields_=[ 
       ("FltSave", XMM_SAVE_AREA32), 
       ("DummyStruct", DUMMYSTRUCTNAME) 
       ] 

class CONTEXT64(Structure): 
    _pack_ = 16 
    _fields_ = [ 
       ("P1Home", DWORD64), 
       ("P2Home", DWORD64), 
       ("P3Home", DWORD64), 
       ("P4Home", DWORD64), 
       ("P5Home", DWORD64), 
       ("P6Home", DWORD64), 
       ("ContextFlags", DWORD), 
       ("MxCsr", DWORD), 
       ("SegCs", WORD), 
       ("SegDs", WORD), 
       ("SegEs", WORD), 
       ("SegFs", WORD), 
       ("SegGs", WORD), 
       ("SegSs", WORD), 
       ("EFlags", DWORD), 
       ("Dr0", DWORD64), 
       ("Dr1", DWORD64), 
       ("Dr2", DWORD64), 
       ("Dr3", DWORD64), 
       ("Dr6", DWORD64), 
       ("Dr7", DWORD64), 
       ("Rax", DWORD64), 
       ("Rcx", DWORD64), 
       ("Rdx", DWORD64), 
       ("Rbx", DWORD64), 
       ("Rsp", DWORD64), 
       ("Rbp", DWORD64), 
       ("Rsi", DWORD64), 
       ("Rdi", DWORD64), 
       ("R8", DWORD64), 
       ("R9", DWORD64), 
       ("R10", DWORD64), 
       ("R11", DWORD64), 
       ("R12", DWORD64), 
       ("R13", DWORD64), 
       ("R14", DWORD64), 
       ("R15", DWORD64), 
       ("Rip", DWORD64), 
       ("DebugControl", DWORD64), 
       ("LastBranchToRip", DWORD64), 
       ("LastBranchFromRip", DWORD64), 
       ("LastExceptionToRip", DWORD64), 
       ("LastExceptionFromRip", DWORD64), 
       ("DUMMYUNIONNAME", DUMMYUNIONNAME), 
       ("VectorRegister", M128A * 26), 
       ("VectorControl", DWORD64) 
]

конечно я еще не проверил, как ли значения возвращаются в регистрах являются правильными или просто но тот факт, что значения существуют вместо 0x00000000 или ошибка 0x57, обнадеживает.

Доступ к регистрам по-прежнему осуществляется через thread_context.Rip и т.д., не EIP

источник

2013-09-15 16:10:09 ali2992

+0

DWORD64 = c_uint64 –

+0

Обратите внимание, что это не контекст WOW64, а 64-разрядный контекст. Контекст WOW64 используется для доступа к контексту потока 32-разрядного процесса из 64-разрядного приложения. – Sam

0

Проверьте значение ваших ContextFlags констант. Значение, которое я получил от модуля python, win32con пропускает бит, зависящий от архитектуры. Это выдержка из моего WinNT.h (из Windows SDK server2003sp1):

#define CONTEXT_AMD64 0x100000 

// end_wx86 

#define CONTEXT_CONTROL (CONTEXT_AMD64 | 0x1L) 
#define CONTEXT_INTEGER (CONTEXT_AMD64 | 0x2L) 
#define CONTEXT_SEGMENTS (CONTEXT_AMD64 | 0x4L) 
#define CONTEXT_FLOATING_POINT (CONTEXT_AMD64 | 0x8L) 
#define CONTEXT_DEBUG_REGISTERS (CONTEXT_AMD64 | 0x10L) 

#define CONTEXT_FULL (CONTEXT_CONTROL | CONTEXT_INTEGER | CONTEXT_FLOATING_POINT) 

#define CONTEXT_ALL (CONTEXT_CONTROL | CONTEXT_INTEGER | CONTEXT_SEGMENTS | CONTEXT_FLOATING_POINT | CONTEXT_DEBUG_REGISTERS) 

[...] 

#define CONTEXT_i386 0x00010000 // this assumes that i386 and 
#define CONTEXT_i486 0x00010000 // i486 have identical context records 

// end_wx86 

#define CONTEXT_CONTROL   (CONTEXT_i386 | 0x00000001L) // SS:SP, CS:IP, FLAGS, BP 
#define CONTEXT_INTEGER   (CONTEXT_i386 | 0x00000002L) // AX, BX, CX, DX, SI, DI 
#define CONTEXT_SEGMENTS  (CONTEXT_i386 | 0x00000004L) // DS, ES, FS, GS 
#define CONTEXT_FLOATING_POINT (CONTEXT_i386 | 0x00000008L) // 387 state 
#define CONTEXT_DEBUG_REGISTERS (CONTEXT_i386 | 0x00000010L) // DB 0-3,6,7 
#define CONTEXT_EXTENDED_REGISTERS (CONTEXT_i386 | 0x00000020L) // cpu specific extensions 

#define CONTEXT_FULL (CONTEXT_CONTROL | CONTEXT_INTEGER |\ 
         CONTEXT_SEGMENTS) 

#define CONTEXT_ALL (CONTEXT_CONTROL | CONTEXT_INTEGER | CONTEXT_SEGMENTS | CONTEXT_FLOATING_POINT | CONTEXT_DEBUG_REGISTERS | CONTEXT_EXTENDED_REGISTERS)

Если это не работает для вас, проверьте WinNT.h для вашей версии окон.

источник

2013-09-22 12:35:16 user2804197

Смежные вопросы

 Смежные вопросы