WOW64 程序如何覆盖其命令行参数，如 WMI 所示？

Question

我正在尝试编写一个程序，该程序可以在读取命令行参数后屏蔽它们。我知道它存储在 PEB 中，因此我尝试使用“如何使用汇编程序（x64 OS）获取进程环境块（PEB）地址？”的答案。通过 Sirmabus获取并在那里进行修改。这是一个执行此操作的最小程序：

\n

#include <wchar.h>\n#include <windows.h>\n#include <winnt.h>\n#include <winternl.h>\n\n// Thread Environment Block (TEB)\n#if defined(_M_X64) // x64\nPTEB tebPtr = reinterpret_cast<PTEB>(__readgsqword(reinterpret_cast<DWORD_PTR>(&static_cast<NT_TIB*>(nullptr)->Self)));\n#else // x86\nPTEB tebPtr = reinterpret_cast<PTEB>(__readfsdword(reinterpret_cast<DWORD_PTR>(&static_cast<NT_TIB*>(nullptr)->Self)));\n#endif\n\n// Process Environment Block (PEB)\nPPEB pebPtr = tebPtr->ProcessEnvironmentBlock;\n\nint main() {\n    UNICODE_STRING *s = &pebPtr->ProcessParameters->CommandLine;\n    wmemset(s->Buffer, \'x\', s->Length / sizeof *s->Buffer);\n    getwchar();\n}\n

\n

我将其编译为 32 位和 64 位，并在 32 位和 64 位版本的 Windows 上进行了测试。我使用Process Explorer查找命令行，并使用此 PowerShell 命令通过 WMI 获取它：

\n

Get-WmiObject Win32_Process -Filter "name = \'overwrite.exe\'" | Select-Object CommandLine\n

\n

我发现这在我测试过的每个组合中都有效，除了在 WOW64 进程上使用 WMI 之外。将我的测试结果总结在表格中：

\n

\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n \n

建筑学	流程浏览器	WMI
64 位操作系统上的 64 位可执行文件（本机）	\xe2\x9c\x94\xef\xb8\x8f xxxxxxxxxxxx	\xe2\x9c\x94\xef\xb8\x8f xxxxxxxxxxxx
64 位操作系统 (WOW64) 上的 32 位可执行文件	\xe2\x9c\x94\xef\xb8\x8f xxxxxxxxxxxx	\xe2\x9d\x8c 覆盖.exe
32 位操作系统上的 32 位可执行文件（本机）	\xe2\x9c\x94\xef\xb8\x8f xxxxxxxxxxxx	\xe2\x9c\x94\xef\xb8\x8f xxxxxxxxxxxx

\n

\n

如何修改我的代码以使其在 WMI WOW64 情况下也能工作？

\n

Answer 1

wow64 进程有 2 个 PEB（32 位和 64 位）和 2 个不同的 ProcessEnvironmentBlock（同样是 32 位和 64 位）。两者都存在命令行。一些工具采用正确的命令行（来自 32 位进程的 32 ProcessEnvironmentBlock），一些工具则无条件地采用 64 位 ProcessEnvironmentBlock（在 64 位操作系统上）。所以你想要两个块中的命令行为零（全部或第一个字符）。为了在“本机”块中执行此操作，我们不需要访问 TEB/PEB/ProcessEnvironmentBlock - 返回GetCommandLineW指向ProcessEnvironmentBlock 中命令行字符串的直接指针。所以接下来的代码就足够了：

PWSTR psz = GetCommandLineW();
while (*psz) *psz++ = 0;

或者简单地

*GetCommandLineW() = 0;

足够

作为旁注，获取 TEB 指针不需要编写自己的宏 -NtCurrentTeb()宏已经存在于winnt.h中

从 32 位进程访问 64 位 ProcessEnvironmentBlock 已经不是小事了。 评论中建议的一种方法。另一种方法更简单，但没有记录 -NtQueryInformationProcess调用 ProcessWow64Information

当ProcessInformationClass参数是ProcessWow64Information时，ProcessInformation参数指向的缓冲区应该足够大以容纳ULONG_PTR。如果该值非零，则进程正在 WOW64 环境中运行。否则，该进程不会在 WOW64 环境中运行。

所以这个值接收一些指针。但msdn没有说他指的是什么。实际上，这个指针指向 wow64 进程中的 64 PEB 进程。

所以代码可以是下一个：

#ifndef _WIN64
    PEB64* peb64;
    if (0 <= NtQueryInformationProcess(NtCurrentProcess(), 
        ProcessWow64Information, &peb64, sizeof(peb64), 0) && peb64)
    {
        // ...
    }
#endif

但在 32 位进程中声明和使用 64 位结构非常不舒服（需要始终检查指针 < 0x100000000 ）

另一种原始方法 - 执行执行任务的小型 64 位 shellcode。

该代码大约执行以下操作：

#include <winternl.h>
#include <intrin.h>

void ZeroCmdLine()
{
    PUNICODE_STRING CommandLine = 
        &NtCurrentTeb()->ProcessEnvironmentBlock->ProcessParameters->CommandLine;
    if (USHORT Length = CommandLine->Length)
    {
        //*CommandLine->Buffer = 0;
        __stosw((PUSHORT)CommandLine->Buffer, 0, Length / sizeof(WCHAR));
    }
}

您需要使用下一个代码创建 asm 文件（如果项目中还没有）

.686

.MODEL FLAT

.code

@ZeroCmdLine@0 proc
    push ebp
    mov ebp,esp
    and esp,not 15
    push 33h
    call @@1
    ;++++++++ x64 +++++++++
    sub esp,20h
    call @@0
    add esp,20h
    retf
@@0:
    DQ 000003025048b4865h
    DQ 0408b4860408b4800h
    DQ 00de3677048b70f20h
    DQ 033e9d178788b4857h
    DQ 0ccccc35fab66f3c0h
    ;-------- x64 ---------
@@1:
    call fword ptr [esp]
    leave
    ret
@ZeroCmdLine@0 endp

end

s中的代码DQ来自于：

    mov rax,gs:30h
    mov rax,[rax+60h]
    mov rax,[rax+20h]
    movzx ecx,word ptr [rax+70h]
    jecxz @@2
    push rdi
    mov rdi,[rax+78h]
    shr ecx,1
    xor eax,eax
    rep stosw
    pop rdi
@@2:
    ret
    int3
    int3

定制构建：ml /c /Cp $(InputFileName)->$(InputName).obj

在c++中声明

#ifdef __cplusplus
extern "C"
#endif
void FASTCALL ZeroCmdLine(void);

并调用它。

#ifndef _WIN64
    BOOL bWow;
    if (IsWow64Process(GetCurrentProcess(), &bWow) && bWow)
    {
        ZeroCmdLine();
    }
#endif