Process BaseAddress 구하기

Process Base Address 구하기 ( ASLR 상관없이 구하기 )

Process Memory 패치할때.. ASLR적용시 Base Address가 다를수 있으므로 가끔.. BaseAddress를 동적으로 구해서 사용할 필요가 있음.

사용할 함수는 "NtQueryInformationProcess" 함수를 사용하여 구함

해당 함수는 프로세스의 정보를 뽑아낼수 있는 함수이다.

PEB 구조체 내에서 Reserved3 값은 OS 내에서 사용하는 구조체 맴버로 MSDN에 표시되어 있지 않지만 Process에 BaseAddress를 기록하고 있다.

프로세스 PEB 구조체에 +8 위치를 보게 되면 0x1380000 값을 나타냄을 알 수 있다. 이후 해당 주소에 가서 DATA를 확인하면 아래와 같이 해당 파일의 PEE Image Address임을 알 수 있다.

해당 주소는 ASLR이 적용되기 전에 로드되는 주소인 0x400000주소가 아님을 확인 할 수 있다. Win 7 이상이나 ASLR이 기본적용된 OS에서는 프로세스의 Image Address를 동적으로 얻어야 프로세스내 특정 메모리 영역을 패치 할 수 있다.

아래는 Image Address를 구할 수 있는 Code이며 dwGetBaseAddress 함수의 경우 매개변수로 프로세스 핸들을 주게 되면 프로세스의 Base Address를 리턴해주게 된다.

< Code >

#include <Windows.h> #include <tchar.h> typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING; typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _RTL_USER_PROCESS_PARAMETERS { BYTE Reserved1[16]; PVOID Reserved2[10]; UNICODE_STRING ImagePathName; UNICODE_STRING CommandLine; } RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS; typedef VOID(NTAPI *PPS_POST_PROCESS_INIT_ROUTINE) ( VOID ); typedef struct _PEB { BYTE Reserved1[2]; BYTE BeingDebugged; BYTE Reserved2[1]; PVOID Reserved3[2]; PPEB_LDR_DATA Ldr; PRTL_USER_PROCESS_PARAMETERS ProcessParameters; BYTE Reserved4[104]; PVOID Reserved5[52]; PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine; BYTE Reserved6[128]; PVOID Reserved7[1]; ULONG SessionId; } PEB, *PPEB; typedef struct _PROCESS_BASIC_INFORMATION { LONG ExitStatus; PPEB PebBaseAddress; ULONG_PTR AffinityMask; LONG BasePriority; ULONG_PTR UniqueProcessId; ULONG_PTR InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; typedef enum _PROCESSINFOCLASS { ProcessBasicInformation = 0, } PROCESSINFOCLASS, *PPROCESSINFOCLASS; typedef NTSTATUS(WINAPI *pNtQueryInformationProcess)( _In_ HANDLE ProcessHandle, _In_ PROCESSINFOCLASS ProcessInformationClass, _Out_ PVOID ProcessInformation, _In_ ULONG ProcessInformationLength, _Out_opt_ PULONG ReturnLength ); pNtQueryInformationProcess NtQueryInformationProcess; DWORD dwGetBaseAddress(HANDLE hProcess) { DWORD dwReturn = 0; TCHAR szTemp[1024]; HMODULE hModule = NULL; HANDLE hHeap = NULL; PPROCESS_BASIC_INFORMATION processBasicInformation = NULL; DWORD dRead; hModule = GetModuleHandle(TEXT("ntdll.dll")); if (hModule == NULL) { _stprintf(szTemp, TEXT("AdjustTokenPrivileges Error : %u\n"), GetLastError()); OutputDebugString(szTemp); goto _EXIT; } NtQueryInformationProcess = (pNtQueryInformationProcess)GetProcAddress(hModule, "NtQueryInformationProcess"); if (NtQueryInformationProcess == NULL) { OutputDebugString(TEXT("Init Failed!!!")); return FALSE; } hHeap = GetProcessHeap(); if (hHeap == INVALID_HANDLE_VALUE) { OutputDebugString(TEXT("GetProcessHeap Failed!!!")); return FALSE; } processBasicInformation = (PPROCESS_BASIC_INFORMATION)HeapAlloc(hHeap, HEAP_ZERO_MEMORY, sizeof(PROCESS_BASIC_INFORMATION)); NTSTATUS dwStatus = NtQueryInformationProcess(hProcess, ProcessBasicInformation, processBasicInformation, sizeof(PROCESS_BASIC_INFORMATION), &dRead); if (dwStatus >= 0 && sizeof(PROCESS_BASIC_INFORMATION) < dRead) { if (processBasicInformation) HeapFree(hHeap, 0, processBasicInformation); processBasicInformation = (PPROCESS_BASIC_INFORMATION)HeapAlloc(hHeap, HEAP_ZERO_MEMORY, dRead); if (!processBasicInformation) { goto _EXIT; } dwStatus = NtQueryInformationProcess(hProcess, ProcessBasicInformation, processBasicInformation, dRead, &dRead); } if (dwStatus >= 0) { if (processBasicInformation->PebBaseAddress) { if (!ReadProcessMemory(hProcess, ((PVOID)((DWORD)processBasicInformation->PebBaseAddress + 0x8)), &dwReturn, 4, &dRead)) goto _EXIT; } } _EXIT: if (processBasicInformation != NULL) HeapFree(hHeap, 0, processBasicInformation); return dwReturn; }