Чем вызван краш программы?

Question

[8iKS]

я пробую сделать вызов функции программы из под dll загружая ее в память. Я определил офсет функции и теперь имею ее адрес

// dllmain.cpp : Defines the entry point for the DLL application.
#include "pch.h"
#include <Windows.h>
#include <string>
#include <iostream>

using namespace std;

typedef void(__stdcall* _auth)();
_auth auth;

DWORD WINAPI MainThread(LPVOID param)
{
    uintptr_t modBase = (uintptr_t)GetModuleHandle(NULL);
    auth = (_auth)(modBase + 0x1040);

    cout << "0x" << std::hex << auth << endl;

    while (!GetAsyncKeyState(VK_END))
    {
        if (GetAsyncKeyState(VK_F9) & 1)
        {
            try
            {
                //cout << "0x" << std::hex << modBase << endl;
                auth();
                
            }
            catch (exception& ex)
            {
                cout << "Exception caught while calling auth() " << ex.what() << endl;
            }

        }
    }

    FreeLibraryAndExitThread((HMODULE)param, 0);
}


BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:

        CreateThread(0, 0, MainThread, hModule, 0, 0);

        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

допустим мы не знаем кода программы функцию которой мы хотим вызвать, но для простоты задания я написал маленькое консольное приложение

void auth()
{
	cout << "CALLED FUNCTION auth()" << endl;
}


int main()
{
	while (true)
	{
		if (GetAsyncKeyState(VK_F8) & 1)
		{
			auth();
		}
	}

	return 0;
}

проблема заключается в том, что при попытке вызвать auth() через Dll программа просто крашиться. Пробовал поймать ошибку блоками try catch, но ошибка банально не выводится, приложение закрывается.


Это main() функция программы. В 7 строке идет вызов функции auth() и вывод сообщения, а последующий колл, как я понял, отвечает за перенос строки. Решил ради эксперимента убрать последнюю call инструкцию и получил в точности ту же ошибку что и при попытке запустить функцию из под Dll. Я не совсем понимаю как тогда должна выглядеть конструкция Dll файла, мне надо сделать еще один call сразу после вызова по адресу функции auth() или как-то полностью изменить инструкцию?

Comments

[rPman]

chatgpt дает очень развернутый ответ

Да, в Windows можно использовать экземпляры объектов, переданные из основной программы в функцию, определенную в DLL.

Для этого нужно:
* Определить интерфейс DLL: Экспортировать функцию из DLL, которая будет принимать указатель на объект.

// В DLL
extern "C" __declspec(dllexport) void UseObject(MyClass* obj);

* Импортировать DLL в основной программе и вызвать экспортированную функцию, передав в нее указатель на объект.

// В основной программе
typedef void (__stdcall *UseObjectFunc)(MyClass*);

HMODULE hModule = LoadLibrary("MyDll.dll");
if (hModule) {
    UseObjectFunc UseObject = (UseObjectFunc)GetProcAddress(hModule, "UseObject");
    if (UseObject) {
        MyClass myObject;
        UseObject(&myObject);
    }
    FreeLibrary(hModule);
}

* Работать с объектом внутри функции в DLL:

// В DLL
extern "C" __declspec(dllexport) void UseObject(MyClass* obj) {
    if (obj) {
        obj->SomeMethod();
    }
}

Важные моменты:
* Совместимость компиляторов: Основная программа и DLL должны быть скомпилированы одинаковыми компиляторами и использовать одни и те же настройки компиляции (например, соглашение о вызовах, выравнивание структур и т.д.).
* Экспорт классов: Если вы планируете экспортировать целые классы, а не функции, то все методы и члены класса, которые будут использоваться вне DLL, должны быть объявлены с использованием __declspec(dllexport) (при импорте из DLL – __declspec(dllimport)).

Вот пример для экспорта класса:

// В DLL
class __declspec(dllexport) MyClass {
public:
    void SomeMethod();
};

и

// В основной программе
class __declspec(dllimport) MyClass {
public:
    void SomeMethod();
};

* Управление памятью: Убедитесь, что объекты, созданные в DLL, освобождаются там же, чтобы избежать проблем с разными пулов памяти в случае использования разных CRT в DLL и основной программе.

Я сам это не проверял
И еще мысль такова, что адресные пространства, heap менеджера памяти и прочее у каждого модуля и программы - свои, а значит работать с ними нужно очень осторожно, ведь все что происходит с памятью в dll обратно нужно передавать как параметры через стек

[Wataru]

rPman, Не надо копировать отрыжку chatgpt по интернету. Он не понял вопрос, а вы скопировали ответ, вообще не связанный с проблемой. И не проверяли сами. Из-за таких как вы интернет превращается в помойку. Позор!

[rPman]

Wataru, ответьте пожалуйста на вопрос, или дайте путь для решения. Я не увидел принципиальных проблем у этого ответа

[Wataru]

rPman, На вопрос я ответил. А проблема в отрыжке GPT, что он объясняет, как использовать функцию из библиотеки в экзешнике, а автору надо, наоборот, из dll-ки запустить функцию основного процесса.

[rPman]

Wataru, а ну это же не принципиально, описан способ создания callback между main и dll и не важно в какую сторону.

ну нельзя напрямую вызывать функции dll/main.

[Wataru]

rPman,

а ну это же не принципиально

Принципиально. Вы совсем не в теме, а копируете вывод булшит-машины. Тут разница как между "как зарядить телефон он пауер-банка?" и "как зарядить пауер-банк от телеофна?". Ни один пункт из скопированной вами инструкции тут не применим вообще.

[8iKS]

rPman, это не решение проблемы. Здесь ChatGPT подразумевает то, что у меня есть доступ в исходному коду программы, но на деле я его предоставил лишь для простоты задачи, приложение уже скомпилировано

[rPman]

8iKS, тогда у тебя не густо вариантов, твой код требует инжекта своего, гемора много.

Я настоятельно рекомендую использовать другой подход, вместо использования dll, используй разные процессы и IPC, или тупо сеть (http/pipe)

[8iKS]

rPman, понятное дело что код требует инжекта dll, в этом и заключалась суть вопроса))))

Answer 1

[Wataru]

А как вы адрес получали? Похоже, что с ним фигня.

Попробуйте запустить вашу программу в отладчике с брейкпоинтом по загрузке (видимо, нужно будет windbg использовать какой-нибудь. Не знаю, как это сделать в IDE). Пропустите загрузку всех модулей и потом ставьте брейкпойнт в вашем MainThread. Там пройдитесь до, собственно, вызова auth и посмотрите, по какому адресу оно сделает вызов. Потом, посмотрите в отладчике же, а какой же адрес у auth. Они точно совпадают?

Еще, а не рабатает ли, если auth в вашем взламываемом экзешнике объявить тоже _stdcall? Не помню, какое там соглашение по вызову по стандарту применяется, но надо чтобы они были одинаковы в коде экзешника и в вашей дллке.

Comments

[Inviz Custos]

Если не изменяет память, то в студии по дефолту проект создается вроде с __cdecl, из-за чего и будет крашить

Update:
Ложная тревога. Только обратил внимание, что у автора 64-битное приложение.
Там всегда будет __fastcall вне зависимости от объявленого соглашения.

(но для 32-битной версии приложения ему придется пофиксить соглашение о вызовах)

[8iKS]

адрес точно верный, проверял несколько раз с помощью дебагера. если к modBase прибывать офсет, то попадаешь на функцию. следовательно и адрес и офсет верны

[8iKS]

Inviz Custos, пробовал менять на fastcall и на cdecl, проблема осталась.

Исключение срабатывает в этом месте:



касаемо вопроса адреса функции
вот вывод из под Dll


адрес 0x00007FF60BFA1040 совпадает с адресом функции из дебагера (call 0x00007FF60BFA1040)

[Wataru]

8iKS, Да, точно, адрес же можно тупо вывести. Например из main() и из dllmain(). Не вызывая функцию вообще.

В дизассемблере видно, что это начало какой-то функции, но я не вижу там никакого вывода в cout. Это точно auth() из поста? Еще, не видно, что там ниже происходит.

Я вижу, что функция по A1040 ожидает что-то полезное в rcx, кажется указатель на указатель на структуру, положенное туда вызывателем. Но там оказывается что-то не то. По смыслу, это какой-то указатель должен быть в параметрах функции. Но auth() не принимает никаких параметров! Сдается мне, что оптимизатор заинлайнил auth() и ее в екзешнике тупо нет. А нашли вы и вызываете что-то не то.

Попробуйте сначала без оптимизаций auth скомпилировать (-O0), тогда ассемблерный код будет понятнее и ее не заинлайнит.

P.s. Вы, вижу, вопрос отредактирвали. Ваш дизассемблер main() показывает, что auth точно заинлайнена. Там нет ее вызова, а сразу вызвыаются функции cout. Удивительно, что там что-то по A1040 вообще есть. Вряд ли это ваша auth().

Кстати, добавив вывод адреса auth в main вы, вероятно, тоже добъетесь, что оптимизатор ее не выкинет.

[8iKS]

вот ассемблированныйкод функции auth().

решил добавить чуть больше вывода в Dll, теперь он выглядит вот так:

// dllmain.cpp : Defines the entry point for the DLL application.
#include "pch.h"
#include <Windows.h>
#include <string>
#include <iostream>

using namespace std;

typedef void()__stdcall* _auth)();
_auth auth = nullptr;

DWORD WINAPI MainThread(LPVOID param)
{
    uintptr_t modBase = (uintptr_t)GetModuleHandle(NULL);
    auth = (_auth)(modBase + 0x1040);

    cout << "[+] MOD BASE: 0x" << std::hex << modBase << endl;
    cout << "[+] FUNCTION ADDRESS: 0x" << std::hex << (uintptr_t)auth << endl;

    MEMORY_BASIC_INFORMATION mbi;
    if (VirtualQuery((LPCVOID)auth, &mbi, sizeof(mbi)))
    {
        if (mbi.Protect & (PAGE_EXECUTE_READ | PAGE_EXECUTE_READWRITE))
        {
            cout << "[+] CAN BE EXECUTED" << endl;
        }
        else
        {
            cout << "[-] CANNOT BE EXECUTED" << endl;
        }
    }
    else
    {
        cout << "[-] ERROR VirtualQuery for auth function address" << endl;
    }

    while (!GetAsyncKeyState(VK_END))
    {
        if (GetAsyncKeyState(VK_F9) & 1)
        {
            __try
            {
                //cout << "0x" << std::hex << modBase << endl;
                auth();       
            }
            __except (EXCEPTION_EXECUTE_HANDLER)
            {
                DWORD errorCode = GetExceptionCode();
                cout << "[-] EXCEPTION auth() CALL, CODE ERROR: 0x" << std::hex << errorCode << endl;
            }

        }
    }
    FreeLibraryAndExitThread((HMODULE)param, 0);
    return 0;
}


BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:

        CreateThread(0, 0, MainThread, hModule, 0, 0);

        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

[8iKS]

Wataru,

[Wataru]

8iKS, Прокрутите вниз дизассемблерный код. Там, вроде, выводится "CALLED FUNCTION auth()" в 00007FF60BFA112D. Но до этого есть какие-то циклы, вызов методов класса и еще какие-то выводы.

Вам не кажется странным, что ваша элементарная функция auth() вышла вот такой вот портянкой? Это уже пропатченная функция что ли?

Дайте-ка еще полный код main. Всего файла. И напишите, каким компилятором и версией оно у вас собирается. Хочу посмотреть ассемблерный выхлоп у себя.

Я все еще 100% уверен, что по смещению +140 у вас совсем не auth(), а что-то другое. И оно ждет параметров функции - какие-то указатели на классы. Вы их не передаете, поэтому эта функция и падает.

Вы пробовали без оптимизации компилировать?

[Wataru]

8iKS, Пробовали вывести адрес auth() в main и сравнить его с адресом auth из dll-ки?

[8iKS]

Wataru, только не бросайте камнями)) я решил с недостаточным количеством знаний полезть в ассемблер и работу с памятью, а в последующем и хуками. Только что изменил код exe файла, чтобы вывести адрес функции и быть на 100% уверенным, что офсет верный, как оказалось, не зря.

измененный код exe:

#include <iostream>
#include <windows.h>


using std::cout;
using std::cin;
using std::endl;

void auth()
{
	cout << "CALLED FUNCTION auth()" << endl;
}


int main()
{
	void (*funcPtr)() = &auth;
	cout << "Address of auth: " << (void*)funcPtr << endl;

	while (true)
	{
		if (GetAsyncKeyState(VK_F8) & 1)
		{
			auth();
		}
	}

	return 0;
}

Address of auth: 00007FF688FF1000

дальше зашел в ассемблер и увидел это



я до сих пор не понимаю почему до изменения кода функции auth() не было видно ни в отладочных символах, ни должным образом в дебагере. Неужели так работает оптимизация?

P.S. Теперь все работает как надо, остался только вопрос почему не удавалось сделать тоже самое перед тем, как я добавил 2 строчки в main функцию

void (*funcPtr)() = &auth;
cout << "Address of auth: " << (void*)funcPtr << endl;

P.S.2 Во всяком случае, большое спасибо за помощь!

[Wataru]

8iKS, А вы код auth ассемблерный тоже покажите - интересно.

А найти вы его не могли именно из-за инлайнинга функции, как я и говорил пару комметариев назад. Компилятор видит, что функция мелкая, вызывается в одном месте. Можно тупо ее код вставить вместо вызова и сэкономить ресурсы. Все-таки вызов - не бесплатное удовольствие. Очень много чего надо сохранить и восстановить после. Отключение оптимизаций дало бы такой же результат.

А потом, поскольку компилятор заинлайнил все вызовы функции, можно ее и не генерировать вообще в исполняемом файле.

В изменном коде компиялтор видит, что надо получить адрес функции. Поэтому ее нельзя выкинуть, у нее же адреса не будет. Вот и пришлось, ворча и кряхтя, таки, вставить функцию в исполняемый файл.

[Wataru]

8iKS, В настоящем, не игрушечном исполняемом файле, если функция вам важна для взлома, то она вряд ли будет заинлайнена. В крайнем случае, вам придется патчить ту функцию, куда проверка аутентификации вставлена.

[8iKS]

Wataru,

[8iKS]

Wataru, еще раз спасибо за помощь и объяснение!

[Inviz Custos]

8iKS, чтобы в будущем поменьше встречаться с подобными проблемами можете скачать себе бесплатную версию IDA, чтобы потом проверять выхлоп компилятора
https://hex-rays.com/ida-free/