如何在 Windows 上运行 x64 应用程序时临时替换其调用堆栈？

如何在运行 Windows 上的 x64 应用程序时临时替换其调用堆栈？

引言

在使用 Windows 操作系统运行 x64 应用程序时，您可能需要临时替换其调用堆栈。本文将详细介绍如何实现此操作，并探讨相关问题以及解决方案。

背景

调用堆栈是一个数据结构，用于跟踪程序执行的顺序。当发生错误或异常时，调用堆栈至关重要，因为它允许调试器显示导致问题的函数序列。在某些情况下，您可能需要替换应用程序的调用堆栈，例如当您需要在生成函数中使用专用堆栈时。

问题

在尝试替换 x64 应用程序的调用堆栈时，您可能会遇到以下问题：

• 调用堆栈窗口中的调用堆栈消失。
• 应用程序在执行调用时崩溃。

解决方案

要解决这些问题并临时替换应用程序的调用堆栈，请按照以下步骤操作：

1. 获取当前 RSP 值： 使用以下汇编代码获取应用程序的当前 RSP 值：

mov rdx, qword ptr [rsp]

2. 分配新堆栈： 使用以下汇编代码为您的专用堆栈分配内存：

sub rsp, 28h ; 16 字节对齐
mov r14, rsp ; 设置帧指针
mov rsp, qword ptr [rcx] ; 设置新堆栈指针

3. 将 RSP 恢复到原始值： 完成生成函数后，使用以下汇编代码将 RSP 恢复到其原始值：

mov rsp, rdx ; 恢复 RSP 到原始值

实施

上述解决方案可以通过编写一个自定义挂钩来实现，该挂钩将劫持应用程序的 prolog 并替换 RSP。以下是挂钩的示例代码：

#include <Windows.h>
#include <winternl.h>

typedef NTSTATUS (*NtCreateThreadExFn)(OUT PHANDLE ThreadHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN HANDLE ProcessHandle, IN PVOID StartAddress, IN PVOID Parameter, IN BOOLEAN CreateSuspended, IN ULONG StackZeroBits, IN SIZE_T SizeOfStackCommit, IN SIZE_T SizeOfStackReserve, OUT PVOID Address);

NtCreateThreadExFn NtCreateThreadEx;

typedef LONG (WINAPI *Wow64RevertWow64FsRedirectionFn)(PVOID *OldValue);

Wow64RevertWow64FsRedirectionFn Wow64RevertWow64FsRedirection;

VOID ReplaceCallStack(PVOID NewStack)
{
    Wow64RevertWow64FsRedirection(NULL);
    __asm
    {
        push r14 ; 保留帧指针
        sub rsp, 28h ; 16 字节对齐
        mov r14, rsp ; 设置帧指针
        mov rsp, qword ptr [rcx] ; 设置新堆栈指针
    }
}

BOOL HookProlog(HANDLE hProcess)
{
    CONTEXT context;
    context.ContextFlags = CONTEXT_FULL;

    if (!GetThreadContext(hProcess, &context))
    {
        return FALSE;
    }

    PBYTE PrologAddress = (PBYTE)context.Rip;

    DWORD OldProtect;
    if (!VirtualProtect(PrologAddress, 5, PAGE_EXECUTE_READWRITE, &OldProtect))
    {
        return FALSE;
    }

    *PrologAddress = 0x48;
    *(PrologAddress + 1) = 0x8B;
    *(PrologAddress + 2) = 0x05;
    *(PrologAddress + 3) = 0x10;
    *(PrologAddress + 4) = 0x00;

    if (!VirtualProtect(PrologAddress, 5, OldProtect, &OldProtect))
    {
        return FALSE;
    }

    return TRUE;
}

DWORD WINAPI ThreadProc(LPVOID lpParameter)
{
    ReplaceCallStack(lpParameter);

    return 0;
}

BOOL CreateThreadWithModifiedCallStack(PVOID NewStack)
{
    NtCreateThreadEx = (NtCreateThreadExFn)GetProcAddress(LoadLibrary(L"ntdll.dll"), "NtCreateThreadEx");
    Wow64RevertWow64FsRedirection = (Wow64RevertWow64FsRedirectionFn)GetProcAddress(LoadLibrary(L"kernel32.dll"), "Wow64RevertWow64FsRedirection");

    HANDLE hThread;
    if (!NtCreateThreadEx(&hThread, THREAD_ALL_ACCESS, NULL, GetCurrentProcess(), ThreadProc, NewStack, FALSE, 0, 0, 0, NULL))
    {
        return FALSE;
    }

    WaitForSingleObject(hThread, INFINITE);
    CloseHandle(hThread);

    return TRUE;
}

结论

通过遵循本文中概述的步骤，您可以临时替换 Windows 上运行的 x64 应用程序的调用堆栈。此技术可以在需要使用专用堆栈的特定情况下（例如生成函数）中非常有用。

常见问题解答

1. 这种技术对所有 x64 应用程序都适用吗？
是的，此技术适用于所有使用 x64 架构的应用程序。

2. 我可以使用此技术来解决什么类型的错误？
此技术可用于解决与调用堆栈相关的错误，例如丢失的堆栈跟踪或由于堆栈溢出导致的崩溃。

3. 使用此技术是否存在任何风险？
谨慎使用此技术很重要。错误的堆栈修改可能会导致应用程序不稳定或崩溃。

4. 我可以使用这种技术来调试应用程序吗？
是的，可以通过修改调用堆栈来将自定义堆栈信息注入应用程序，从而帮助调试。

5. 还有其他方法可以替换 x64 应用程序的调用堆栈吗？
有其他方法，例如使用汇编插入或内存修补。但是，这些方法可能更加复杂且容易出错。