O
Size: a a a
2021 November 10
CB
не, это вообще не то. Прочти по ссылке статейку внимательно и там есть код который делает транзишн, код заключается в копировании значения 0x33 в регистр cs
O
#define EM(a) __asm __emit (a)
#define X64_Start_with_CS(_cs) \
{ \
EM(0x6A) EM(_cs) /* push _cs */ \
EM(0xE8) EM(0) EM(0) EM(0) EM(0) /* call $+5 */ \
EM(0x83) EM(4) EM(0x24) EM(5) /* add dword [esp], 5 */ \
EM(0xCB) /* retf */ \
}
#define X64_End_with_CS(_cs) \
{ \
EM(0xE8) EM(0) EM(0) EM(0) EM(0) /* call $+5 */ \
EM(0xC7) EM(0x44) EM(0x24) EM(4) /* */ \
EM(_cs) EM(0) EM(0) EM(0) /* mov dword [rsp + 4], _cs */ \
EM(0x83) EM(4) EM(0x24) EM(0xD) /* add dword [rsp], 0xD */ \
EM(0xCB) /* retf */ \
}
#define X64_Start() X64_Start_with_CS(0x33)
#define X64_End() X64_End_with_CS(0x23)
Это оно ?CB
да это оно, но этого не хватит
CB
Там хитрO надо запилить через EMIT 64 битный код, который уже сделает syscall в х64 контексте
CB
чем так париццо, проще просто вызвать NtWriteVirtualMemory через экспорт, зачем тебе сискол
CB
Ну тогда придется прочесть внимательно че там написано сначала
A
без матов плиз, поправь
CB
еще надо будет вот тут https://github.com/rwfpl/rewolf-wow64ext/blob/fd28b57fe926f3e57540850c37cdbcc766173dba/src/wow64ext.cpp#L154 через эмит вставить опкоды х64
mov r10,rcx
mov eax,syscall_number
syscall
mov r10,rcx
mov eax,syscall_number
syscall
CB
а call func убрать
CB
да
CB
Надо переключить контекст и выполнить х64 код который сделает инструкцию syscall по всем правилам
CB
ну впринципе там уже почти все написано, надо только подправить код его чтоб он не стаб вызывал, а сразу выполнял инстр. syscall там пару строк подправить с гитхаба
CB
и все аргументы будут DWORD64
CB
Номер куда-то прятать тогда надо)
CB
А что, в винде как и в линуксе у сисколлов всегда одни и теже индексы? ну всмысле номера)