问C++：从64位进程注入32位目标

EN

我最近用C++编写了一个DLL-注入器，其要求如下

• 注入过程(我们称之为‘注入器’)以及要注入的DLL (注入)都存在于64位和32位变体中。根据目标，将尝试注入匹配版本的注入。
• 必须能够注入32位(WOW64)的目标进程，即使注入器在64位中运行

我很快注意到，Injector中的GetProcAddress("LoadLibraryA")调用返回一个“不可用”句柄，因为32位目标有另一个内核32.dll加载，并且函数的地址不同，因此注入失败(不能使用返回的地址/句柄启动远程线程)。此外，32位进程将内核32.dll加载到不同的基址，这使得创建远程线程变得更加不可能。

为了明确我的意思，会发生以下情况：

• 注入器有64位版本的kernel32.dll加载在0x12340000
• 从这个内核检索LoadLibraryA 0x00005678的注射器句柄
• 在0xABCD 0000加载了32位版本的kernel32.dll
• 这个内核的LoadLibrary的句柄为0x0000EFAB。
• 注入器尝试使用函数0x12345678在目标中启动远程线程，但希望使用0xABCDEFAB。

当从64位进程注入64位进程，从32位注入32位进程时，通常没有问题，因为内核32.dll(很可能)加载在相同的基址上，并且可以使用相同的函数地址--到目前为止，这就是我的错误所在。然而，在这种情况下，情况不同。

为了克服这个问题，我执行了以下步骤：

• 64位注入器使用EnumProcessModulesEx()检索32位目标加载的内核32.dll的地址(应该是0xABCD 000)
• 获取该kernel32.dll，的文件名，解析PE头并获取LoadLibraryA的RVA (应该是0x000EFAB)
• 此时，我们知道在32位目标中加载kernel32.dll的位置以及该DLL函数的地址。
• 64位注入器使用ImageBase +函数RVA在32位目标中启动远程线程，在本例中是神奇的0xABCDEFAB

这种方法实际上运行得很好，但我无法摆脱这样的想法:这是总开销，必须有一个更简单的解决方案，从64位注入器中注入32位目标。

我有两个问题，如果能在这里得到答复，我将非常感激：

1. 有更简单的方法来实现这种注射吗？
2. 我一直在考虑的方法是否可能有问题？

任何答案都是非常感谢的，谢谢！

编辑:哦，天哪.我刚刚意识到，我在最初的帖子中描述了错误的情况。注入器是64位，目标是32位(最初是相反的，但我已经更正了)。Ben在下面的评论是完全正确的，对EnumProcessModulesEx的调用将失败。一个大的，大的，抱歉的，对这种混乱：