Почему чтение не разрешено?

Question

[Денис Гончаренко]

Весь код:

#include <fstream>
#include <iostream> 
#include <stdio.h>
#include <iomanip>  
#include <windows.h>

using namespace std;

unsigned char	b[] = "\xa1\x00\x70\xe8\x00";
int mySequency[256] = { 3 };

void *exec = VirtualAlloc(0, sizeof b, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
int main()
{
	memcpy(exec, b, sizeof b);
	((void(*)())exec)();

	system("pause");
	return 0;
}

Простой shellcode выполняется без проблем, например положить какое-то число в регистр, а вот когда в нем происходит попытка чтения или записи переменной mySequency, получаем ошибку:


Пробовал сделать:

DWORD old_protect;
VirtualProtect((DWORD*)mySequency, 256, PAGE_READWRITE, &old_protect);

Никак не влияет.

Данный байтовый код следующей инструкции:
mov eax, dword ptr[mySequency]

В виде ассемблерной вставки в Visual Studio работает без проблем. Подозреваю что нужно что-то еще подкрутить в конфигах проекта, но вроде уже все поотключал...

Покопался в конфигах, вроде как иногда ошибки с памятью пропадают, но теперь появилось:

Comments

[Данил Асадуллаев]

А зачем вам unsigned char?

Answer 1

[Rsa97]

Нет, ваш опкод соответствует инструкции
mov eax, dword ptr [0xe87000]
А кто вам сказал, что переменная mySequency находится по адресу 0xe87000? При каждом запуске программы её адрес может быть другим.

Comments

[Денис Гончаренко]

В конфигах проекта отключил динамическое перемешивание адресов, по идее адрес меняться не должен...

[Rsa97]

Денис Гончаренко, А система у вас тоже грузит код всегда по одному и тому же адресу?
Просто запустите программу в отладчике и посмотрите по какому адресу создастся переменная.
И подумайте, что будет если запустить одновременно несколько копий программы, должна ли при этом переменная находиться по одному и тому же адресу для всех копий?

[Денис Гончаренко]

Rsa97, я думал тут адрес указывается относительно текущего сегмента, как тогда быть?

[Rsa97]

Денис Гончаренко, Попробуйте записать адрес переменной прямо в код. Как-то так:
*((uint32_t *)(b + 1)) = mySequency;

[Roman]

а что нибудь типа
sprintf((char*)(b+1) ,"%p",mySequency);
не прокатит?

[Rsa97]

Роман, Нет. В этом случае вы получите не адрес, а его текстовый человекочитаемый вид.

Answer 2

[Mercury13]

Отлично, вы уже запустили какой-то код. Но соглашение вызова так и не выдержали.
1. Используйте соглашение вызова STDCALL. Тогда функция должна будет сама подчищать за собой. Поскольку в ней нет никаких локальных переменных, и подчистка не потребуется.

typedef uint32_t WINAPI (*SomeFunc)();
uint32_t result = (SomeFunc)exec();

Заодно это позволит увидеть, что функция запустилась. В любом случае возвращаемое значение будет в eax.
2. В конце нашей функции поставьте RET (опкод CB, если я не ошибаюсь).
3. Вычислите и впатчите в наш код адрес переменной.

я думал тут адрес указывается относительно текущего сегмента, как тогда быть?

Начиная с защищённого режима 386, у нас «плоская память». Сегменты используются только загрузчиками, ВМами и прочей шушерой. Просто вычислите 32-битный адрес и запишите куда надо.