开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 52475|回复: 262
收起左侧

[易语言纯源码] eWOW64Ext v1.21 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写

    [复制链接]
发表于 2019-5-2 20:19:07 | 显示全部楼层 |阅读模式   辽宁省大连市
分享源码
界面截图:
是否带模块: 纯源码
备注说明: -
本帖最后由 npzs 于 2019-5-2 22:26 编辑

版本更新:

没有任何实质性内容更新,仅内部架构调整,更易于派生模块使用;
首发于精易的 易语言全功能 SQLite3 数据库接口模块必须更新到本次版本后方可正常使用!下载:https://bbs.125.la/forum.php?mod=viewthread&tid=14361253


模块原理:

wow64 是在 64 位操作系统上允许 32 位程序(比如易编译的程序)执行的模拟器子系统;在 64 位操作系统中,不管你的程序是 32 还是 64 位的,其实都存在两个地址空间,正常情况下 32 位程序访问的自然是 32 位的地址空间,而 64 位程序访问其 64 位地址空间。
但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同);
也就是:wow 环境 -> 进入 x64 环境 -> x64 函数调用 或 x64 汇编代码 -> 退出 x64 环境 -> wow 环境,以上必须在一个子程序内完成;
部分实现代码借鉴 c++ 开源代码:wow64ext,在此感谢作者 rewolf。

模块功能:

  • 实现易语言纯 64 位汇编置入代码;
  • 允许调用易程序 64 位 ntdll.dll 的所有函数,也就是你虽然开发的是 32 位程序,但可以实现很多 64 位函数所能实现的功能;
  • 直接使用 64 位函数自由读写(注入) 64 位进程,与很多模块调用 NtWow64xxx 系列函数实现的方式有本质不同;
  • 部分常用 ntdll.dll 函数已在模块直接提供,或以模拟 kernel32 函数的调用形式提供,v1.1 新增多个函数;
  • 未提供函数获取地址后,可使用 X64Call 这个通用函数调用即可;
  • 大部分提供的 64 位功能也同时提供了 32 位版本,以便兼容不同需求(模块在 32 位系统中不会开启 64 位功能引起异常,但 32 位功能依然可用);
  • 支持加载任意 32/64 位 DLL,从此易语言可以调用外部 64 位 DLL 了(包括加载 kernel32.dll),v1.1 新增功能;
  • 除了动态加载外,还支持 32 位 DLL 的内存加载,但 64 位只能加载本地 DLL 文件,v1.1 新增功能;
  • 如有 BUG,请提供错误重现代码及执行环境,如非不可抗因素我都会及时更新的;


模块部分命令简述:
以下只是适用于 64 位的部分函数,模块中以相同命令形式实现的 32 位命令,这里就不列举了;

辅Zhu函数
fn_WOW64Enabled 如果你在代码中需要使用 64 位汇编或者操作 64 位进程,则初始化时应确保本函数返回真。实际只要是 64 位操作系统,均应返回 真
fn_ProcessIsX64 检测指定进程是否为 64 位进程
fn_CalcModOrFuncHash 使用过动态调用DLL的都清楚取模块基址和函数指针,微软默认使用字符串对比,本模块可使用哈希对比效率和易用上相对提升,本函数用于计算模块或函数哈希

易内部命令
X64Call 调用 64 位函数通用版本
X64CallArr 调用 64 位函数通用版本,数组方式传参,支持无限个数参数;【v1.2新增】
X64MemCopy 同类还有 X64MemCmp 函数;从 64 地址复制数据或 64 位地址与 32 位地址数据对比,但仅限进程内部
X64GetLong64 获取 64 位地址数值,同类函数还有:X64GetLong32、X64GetWord、X64GetByte
X64GetTEB 取当前易程序 64 位 TEB,通过 TEB 再取 PEB,则进程和线程信息以及模块等一览无余了
GetNtdll64 ntdll.dll 在 64 位环境下的内存基址
GetModuleHandleEx64 通过模块哈希值获取其 64 位地址空间的内存基址(易进程而不是外部进程哦);同类还有 GetModuleHandle64
GetProcAddressEx64通过函数哈希值或函数索引序号获取其 64 位调用地址;同类还有 GetProcAddress64
NtQuerySystemInformation64cha询系统信息,可获取很多类别信息。这个 API 微软已不推荐使用并给出部分替代 API,但其个别功能十分好用且没用可替代品。cha询系统进程也是最全面的
OpenProcess64打开进程句柄,关闭进程句柄时使用 CloseHandle64;【v1.1新增】
HeapAlloc64堆管理函数,同类还有 GetDefaultHeap64/HeapReAlloc64/HeapFree64/HeapSize64;【v1.1新增】
malloc64简化版默认堆管理函数,同类还有 realloc64/free64
RtlUnicodeToAnsi64内核实现的 Unicode、Ansi 结构(不是数据指针)管理函数,同类还有:RtlInitAnsiString64/RtlFreeAnsiString64、RtlInitUnicodeString64/RtlFreeUnicodeString64、RtlAnsiToUnicode64;【v1.1新增】
LoadLibraryEx64可加载任意 64 位 DLL 到当前进程,获取基址及函数地址后进行调用即可;其释放函数为:FreeLibrary64
另,本函数 32 位版本 LoadLibraryEx86/FreeLibrary86 还支持加载 32 位的内存 DLL;【v1.1新增】

外部进程命令
NtQueryProcessPEB64 获取外部 64 位进程PEB
VirtualAllocEx64 在外部 64 位进程分配内存,释放函数为 VirtualFreeEx64
VirtualQueryEx64 cha询外部 64 位进程指定内存区域的状态,一个地址是否能写入最好先测试一下,禁止写的话要更改内存属性才能开始写入
VirtualProtectEx64 更改外部 64 位进程指定内存区域的保护属性
ReadProcessMemory64 读取外部 64 位进程指定区域的内存数据
WriteProcessMemory64 向外部 64 位进程指定内存区域写入数据
NtQueryInformationProcess64cha询外部 64 位进程信息
GetThreadContext64获取线程上下文,多用于 SEH,仅供高级用户使用;相应设置函数为 SetThreadContext64


编写 64 位汇编(供汇编爱好者使用):
模块公开了几个 汇编代码 常量:
#X64_Start - 进入 x64 环境
#X64_End - 退出 x64 环境

  
子程序名返回值类型公开备 注
编写x64汇编框架 返回值不限制,同 x86 相同
' 如果本子程序中需要调用 64 位函数,则此时应保存 fs 寄存器及对齐栈顶,可参考源码中的 #X64_SaveFs
置入代码 ( #X64_Start )
' 在此区域内可使用 64 位纯汇编代码
置入代码 ( #X64_End )  ' #X64_End 与 #X64_Start 必须在同一个子程序中成对使用
' 如果本子程序中需要调用 64 位函数,则此时应恢复 ss/fs 寄存器,可参考源码中的 #X64_RestoreFs
' 然后就是 x86 中的平栈返回或者由易子程序返回



其他:
由于本模块并非提供给初级用户使用,因此没有写太详尽的 demo,只提供了一份编写测试时用于测试的 test,参考其代码可获得模块使用方法;

开源协yi:
本模块源代码核心来源于 rewolf-wow64ext,为尊重其劳动成果,沿用其 LGPL 3.0 开源许可证;
你可以将本模块源代码随意用于免费或商业软件;你也可以自由修改源代码,但公开发布应予以保留原作者署名;


关于赞助:
  • 本人近期希望可以有更多时间将近 15 年易语言学习中汇总的各类源代码重新整理优化,全部以开源、高效的易模块形式发布,为易语言略尽绵力;
  • 如果这份源码您用的上并且也给您带来部分利益,我接受任何形式的打赏与赞助(点击下方“ 赏” 按钮选择适合您的方式即可),以便我有更多时间和精力整理余下的源码;
  • 微信/zfb打赏的易友可私信索取我的联系方式,包括但不限于本模块范围之内我们可以互相交流帮助;
  • 当然如果您只希望无偿使用,或者您认为这没什么价值,随手能点个赞,我也倍感欣慰!
  • enjoy it!
npzs 2019-02-22 于大连



更新日志:
v1.21 - 2019.04.14
  • 没有任何功能上的更新,内部代码与结构调整优化,轻微提升效率与派生模块适配性;
v1.2 - 2019.03.12
  • 添加:添加了一个 X64CallArr 函数,使用数组方式调用 64 位函数,这样就相当于无限参数数量了,应易友 @开始学易语言 的需求;
  • 更新:极大优化了 X64Call 的代码,现在的通用调用性能损失几乎可忽略不计,实际上本模块的所有代码都是一句句汇编写出来的,本身比起依赖 VC 编译器自动优化的代码都要效率很多倍;
  • 更新:修正加载本模块后无法使用易语言 “运行” 命令的 BUG,实际还有 CreateProcess API 也一同修复,感谢易友 @scgs3178 发现的问题;
v1.1.1 - 2019.03.03
  • 没有任何功能上的更新,只是内部接口预留了空间,便于派生模块使用,后期我如果发布以本模块为基础的功能模块时,至少要更新到该版本!
v1.1 - 2019.03.01
  • 添加:ntdll 实现的 LoadLibraryEx64/FreeLibrary64 及其 32 位版本,从此开始你的易语言可以随意加载 64 位 DLL 啦(包括 64 位的 kernel32.dll),只要你会调用 ^_^,这应该是革命性的首创吧。(要是有前辈已经公布了算我孤陋寡闻了;64 位函数没多难,只要注意参数类型、堆栈对齐和结构对齐就可以了)
  • 添加:原创的内存 DLL 加载函数,集成在 LoadLibraryEx32/FreeLibrary32 之中,不要高兴的太早,只能加载内存中 32 位的 DLL(不管是字节集还是数据指针均可);64 位的短期内实现不了了,因为 WOW64 环境切换的 64 位环境实际上除了 ntdll 就没啥了,想手动实现 Peloader 处理 DLL 所有导入库难度太大了;其实意义也不大,能加载本地 64 位 DLL 够用了;该代码参考诸多前辈开源项目,由本人综合而成,与网上流传的诸多版本最大的不同是除了 DLL 存储空间外没有申请任何额外的内存;返回的基址就是标准的 PE 格式,当然没有zc到进程加载列表,所以 API 方式的 GetProcAddress 无法获取函数,只能用本模块提供的 GetProcAddressEx(也就是传递函数哈希值)的方法获取调用函数地址,其实这也是属于隐藏加载 DLL 了;
  • 添加:OpenProcess64/CloseHandle64 及其 32 位版本,用于打开关闭进程句柄;实际上通过进程标识符打开进程句柄时 32/64 位版本是通用的;
  • 添加:ntdll 实现的 GetDefaultHeap64/HeapAlloc64/HeapReAlloc64/HeapFree64/HeapSize64 及其 32 位版本,实话说从堆申请内存而言,64 位意义不大,只是随着 32 位版本一起提供了
  • 添加:ntdll 实现的简化版默认堆申请函数 malloc64/realloc64/free64 及其 32 位版本,省的每次都得获取默认堆句柄了
  • 添加:ntdll 实现的 RtlInitAnsiString64/RtlFreeAnsiString64、RtlInitUnicodeString64/RtlFreeUnicodeString64、RtlAnsiToUnicode64/RtlUnicodeToAnsi64 字符串处理函数及其 32 位版本,虽然这些函数重要程度不高,但较多 NT-API 均需使用,因此模块予以提供;
  • 添加:绝大部分函数模拟 Windwos 机制,在调用失败后会自动设置错误码,以便调用 GetLasterror 函数可以获得错误原因
  • 更新:修正 GetProcAddressEx 系列函数针对转向 DLL 函数地址获取错误的 BUG;
  • 更新:修正 VirtualQueryEx86 函数参数 4 的描述错误(仅仅是描述而已),结构长度应为 28 而不是 24;
  • 更新:优化模块共享机制,作为底层模块,即使再多扩展模块加载本模块也只会共享相同接口,而不会占用更多资源;
  • 更新:优化了部分代码,提升了几个时钟周期的效率(( ╯□╰ ),没办法,本就是底层的东西,效率提升不了多少了)

eWOW64Ext_v1.21.rar (75.79 KB, 下载次数: 3498)

点评

模块封装好的函数无法使用-1代表自身句柄 如WriteProcessMemory64等   湖南省娄底市  发表于 2022-4-20 18:11
请问一下,易语言怎么使用这个模块加载64位dll? 使用模块里的 LoadLibraryEx64 是返回0   广西壮族自治区崇左市  发表于 2019-5-16 13:38
这个可达鸭好暴躁- -   湖北省武汉市  发表于 2019-5-5 00:45
说错 是远程CALL不是远程注入   广东省江门市  发表于 2019-5-4 15:06
不懂别用麻烦来代替,作者不是由个X64CALL供你参考吗?不会改成远程注入你也就这样而已   广东省江门市  发表于 2019-5-4 15:05
别这么无知OK?还真以为没64位XP?32位XP都不能运行,懂?   广东省江门市  发表于 2019-5-4 14:09
首先得装个64位xp…   四川省宜宾市  发表于 2019-5-2 22:17
顺便告诉你 你的模块并不兼容XP及以下   广东省江门市  发表于 2019-5-2 21:06

评分

参与人数 17好评 +13 精币 +26 收起 理由
yujiekuxiao + 1 + 2 支持开源~!感谢分享
天雷 + 1 + 2 新技能已get√
inat + 1 + 2 感谢分享,很给力!~
浔浔安 + 1 感谢分享,很给力!~
南风知意 + 1 + 2 支持开源~!感谢分享
皮皮驴 + 1 新技能已get√
Snow优雅sict + 1 感谢发布原创作品,精易因你更精彩!
scgs3178 + 1 + 2 支持开源~!感谢分享
1592363624 + 1 + 2 虽然并不知道对我有何用..顶一下
FonLoMo + 1 + 2 新技能已get√
Terrell + 1 共同努力,共同进步
被封禁言 + 1 支持开源~!感谢分享
kyo9766 + 1 + 2 感谢分享,很给力!~
凌哥 + 1 + 3 很强
Casyo + 1 + 1 这就是真正的大哥吧
先锋小七 + 1 + 1 感谢分享,很给力!~
1185384801 + 1 + 1 建议加入远程创建线程,主要是shellcode比较麻烦

查看全部评分


本帖被以下淘专辑推荐:

结帖率:82% (31/38)

签到天数: 15 天

发表于 2024-10-23 22:20:49 | 显示全部楼层   福建省泉州市
回复 支持 反对

使用道具 举报

签到天数: 21 天

发表于 2024-10-23 10:24:46 | 显示全部楼层   重庆市重庆市
6666666666
回复 支持 反对

使用道具 举报

结帖率:100% (1/1)

签到天数: 24 天

发表于 2024-10-23 10:15:43 | 显示全部楼层   四川省广安市
谢谢大佬
回复 支持 反对

使用道具 举报

签到天数: 7 天

发表于 2024-10-22 02:34:24 | 显示全部楼层   黑龙江省佳木斯市

多谢分享
回复 支持 反对

使用道具 举报

结帖率:97% (35/36)
发表于 2024-9-21 05:32:28 | 显示全部楼层   广西壮族自治区南宁市

谢谢分享  111
回复 支持 反对

使用道具 举报

发表于 2024-8-21 08:28:52 | 显示全部楼层   广东省广州市
666666666666666666
回复 支持 反对

使用道具 举报

签到天数: 24 天

发表于 2024-8-9 15:21:47 | 显示全部楼层   河北省邯郸市
感谢分享
回复 支持 反对

使用道具 举报

结帖率:0% (0/1)
发表于 2024-8-5 22:16:05 | 显示全部楼层   广东省深圳市
很不错的
回复 支持 反对

使用道具 举报

结帖率:0% (0/1)

签到天数: 5 天

发表于 2024-8-2 21:38:31 | 显示全部楼层   湖北省武汉市
感谢分享,很给力!~
回复 支持 反对

使用道具 举报

结帖率:100% (1/1)

签到天数: 3 天

发表于 2024-7-26 04:21:36 | 显示全部楼层   江西省九江市
感谢分享 学习了
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表