x86- x64 어셈블리 코드 스위치 구현

Question

NtDll이 x86 프로세스에서 작동하는 방식을 찾고 있었는데 IDA PRO를 사용하여 NtCreateFile 함수를 디버깅했습니다. 그것을위한 코드는 다음입니다 :

mov  eax, 55h  ; NtCreateFile 
mov  edx, offset _Wow64SystemServiceCall@0 ; 
call edx ; Wow64SystemServiceCall() ; 
retn 2Ch 

그리고 Wow64SystemServiceCall()을 :

mov  edx, large fs:30h 
mov  edx, [edx+464h] 
test edx, 2 
jz  short loc_7738B5C8 
int  2Eh    ; DOS 2+ internal - EXECUTE COMMAND 
         ; DS:SI -> counted CR-terminated command string 
retn 
loc_7738B5C8:       ; CODE XREF: 
jmp  far ptr byte_7738B8FF 

나는 jmp far ptr byte_7738B8FF 에 대한 명령 코드를 고개는 다른 세그먼트, 0x33을 jmp 0x33:0x7738b5cf에 점프입니다 EA CF B5 38 77 33 00이었다. 그래서 인터넷에서 읽은 것에서 이것은 64 비트 시스템의 프로세스를위한 x64 세그먼트 기반입니다. 불행하게도 나는 더 이상 디버그 할 수 없다. ida가 점프를 따라 가지 않기 때문이다. 하지만 난 64 용으로 컴파일 된 또 다른 간단한 C 응용 프로그램을 제작하고, 부착 64 IDA PRO 원격 디버거 CreateFile을 불러 분해를 보았다, 그리고 NtCreateFile은과 같이보고했다 :

x64_NtCreateFile proc near 
mov  r10, rcx 
mov  eax, 55h 
test byte ptr ds:7FFE0308h, 1 
jnz  short loc_7FFED6695B85 
syscall 
retn 
loc_7FFED6695B85:      
int  2Eh    ; DOS 2+ internal - EXECUTE COMMAND 
         ; DS:SI -> counted CR-terminated command string 
retn 

그래서 내가 어떻게하는지, 몇 가지 질문이 있습니다 x86 프로세스에서 점프가 ntdll이 연결된 점프 jmp 0x33:0x7738b5cfx64_NtCreateFile 첫 번째 명령어로 넘어 갔습니까? 이 경우 x86에서 x64 로의 전환은 어떻게됩니까? 기본적으로 나는 x86 애플리케이션을 만들고 점프로 세그먼트를 전환 할 수 있으며, 그냥 x32 코드를 실행합니다. db (0x00) ; x64 machine code commands과 같은 작업을 수행하여 만들 수 있습니다. 바로이게 맞습니까?

Answer 1

당신이 주소 0x7738b5cf에서 바이트를 보면, 단일 x86_64의 명령 jmp QWORD PTR [r15+0xf8]에 해당하는 것을

(당신이 윈도우 8.1에있어 적어도 경우 이상) 41 FF A7 F8 00 00 00

처럼 볼 것입니다.

의 R15 레지스터는 항상 wow64cpu.dll합니다 (R15 레지스터에서이 테이블을 가리 키도록 설정되어 64 비트에서 특별한 점프 테이블을 가리 킵니다 오른쪽 멀리 점프를 통해 64 비트 코드가 실행되는 32 비트에서 전환 한 후 응용 프로그램의 32 비트 진입 점보다 먼저 실행되는 코드).

[r15+0xf8]

그냥 syscall 명령을 사용하여 wow64cpu.dll 내 CpupReturnFromSimulatedCode 방법을 가리, 어떤 설정을 할 것입니다 올바른 컨텍스트를하고 ( NtCreateFile에 대한 귀하의 경우) 실제 시스템 호출을 수행하기 위해 발생합니다.

이에 정성 들여 일부 내용

, 참조 :

• https://duo.com/assets/pdf/wow-64-and-so-can-you.pdf
• https://www.malwaretech.com/2015/07/windows-10-system-call-stub-changes.html
• http://rce.co/knockin-on-heavens-gate-dynamic-processor-mode-switching/

부트 스트랩하는 OS가 당신에게 도움이 될 수있는 방법에 대한

Answer 2

예, 저는 64 비트 창에서 실행되는 32 비트 Windows 응용 프로그램에서 64 비트 코드를 실행할 수 있음을 확인했습니다.

Mixing x86 with x64 code에 대한 설명과 예를 제공합니다.

#define EM(a) asm("db " #a); 

#define X64_Start_with_CS(_cs) \ 
{ \ 
    EM(0x6A) EM(_cs)      /* push _cs     */ \ 
    EM(0xE8) EM(0) EM(0) EM(0) EM(0)  /* call $+5     */ \ 
    EM(0x83) EM(4) EM(0x24) EM(5)  /* add dword [esp], 5  */ \ 
    EM(0xCB)        /* retf       */ \ 
} 

#define X64_End_with_CS(_cs) \ 
{ \ 
    EM(0xE8) EM(0) EM(0) EM(0) EM(0)  /* call $+5     */ \ 
    EM(0xC7) EM(0x44) EM(0x24) EM(4)  /*        */ \ 
    EM(_cs) EM(0) EM(0) EM(0)   /* mov dword [rsp + 4], _cs */ \ 
    EM(0x83) EM(4) EM(0x24) EM(0xD)  /* add dword [rsp], 0xD  */ \ 
    EM(0xCB)        /* retf       */ \ 
} 

#define X64_Start() X64_Start_with_CS(0x33) 
#define X64_End() X64_End_with_CS(0x23) 

#define __break() asm("int3") 

int main(void) 
{ 
    __break(); 
    X64_Start(); 
    EM(0x48) EM(0x8D) EM(0x05) EM(0xF9) EM(0xFF) EM(0xFF) EM(0xFF) // lea rax, [$] ; rip-relative 
    X64_End(); 
    __break(); 
} 

내가 다음 디버거에서 그것을 실행하고 EAX는 64 비트 명령어의 주소를 포함하는 것이 "레아를 발견 :

이

내가 (적응 내 작은 C 컴파일러로 컴파일) 시도 것입니다 rax, [$] "두 번째 중단 점에 도달했을 때.