CN111026452A - 一种远程32位进程注入64位进程的方法及系统 - Google Patents

一种远程32位进程注入64位进程的方法及系统 Download PDF

Info

Publication number
CN111026452A
CN111026452A CN201911142730.4A CN201911142730A CN111026452A CN 111026452 A CN111026452 A CN 111026452A CN 201911142730 A CN201911142730 A CN 201911142730A CN 111026452 A CN111026452 A CN 111026452A
Authority
CN
China
Prior art keywords
remote
bit
injection
module
switching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911142730.4A
Other languages
English (en)
Other versions
CN111026452B (zh
Inventor
王志刚
王志海
喻波
彭洪涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wondersoft Technology Co Ltd
Original Assignee
Beijing Wondersoft Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wondersoft Technology Co Ltd filed Critical Beijing Wondersoft Technology Co Ltd
Priority to CN201911142730.4A priority Critical patent/CN111026452B/zh
Publication of CN111026452A publication Critical patent/CN111026452A/zh
Application granted granted Critical
Publication of CN111026452B publication Critical patent/CN111026452B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44568Immediately runnable code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44589Program code verification, e.g. Java bytecode verification, proof-carrying code

Abstract

本发明提供一种远程32位进程注入64位进程的方法及系统,所述系统包括:所述系统包括函数定位层和注入处理层;所述函数定位层用于将32位注入器进程的进程空间从x86工作模式切换至x64工作模式,定位出远程注入进程在x64模式下所需的64位ntdll中的关键Native API函数地址,定位完成后切换至x86工作模式,并将所述关键Native API函数地址传递到注入处理层;所述注入处理层用于将远程注入模块的信息封装成所述关键Native API函数调用需要的参数,将进程切换至x64工作模式,调用远线程创建函数,实现将远程模块或远程进程注入到64位目标进程中,再切换至x86工作模式。根据本发明的方案,32位的远程进程可同时注入32位和64位进程,不需要其他辅助进程。该方案简单、方便、从而保证硬件资源能够发挥最大性能,程序执行效率高,避免进程注入失败造成功能失效。

Description

一种远程32位进程注入64位进程的方法及系统
技术领域
本发明涉及操作系统处理领域,尤其涉及一种远程32位进程注入64位进程的方法及系统。
背景技术
目前,随着硬件技术的不断发展和成熟,计算机装配内存空间和存储容量大的存储设备已经成为常见的配置。为了充分发挥存储设备,尤其是内存设备的性能,需要计算机安装64位操作系统,以便发挥硬件的最大性能。因此,越来越多的用户使用例如微软windows10这样的64位操作系统。微软的64位windows操作系统,能够兼容32位的应用程序,即在64位操作系统中存在32位进程和64位进程。
为了保证信息安全,基于操作系统的数据安全防护类软件也得到了广泛应用,特别是终端安全防护类产品,通常会使用远程注入技术,以监控进程的运行,进而实现相关信息的审查、审计。但存在的问题是32位进程只能通过注入模块注入到32位进程,64位进程只能通过注入模块注入到64位进程,无法实现32位进程既能注入32位进程又能注入64位进程。
目前,现有技术中存在如图1-2所示的32位进程和64位进程的交叉注入方法,但现有技术的32位进程和64位进程交叉注入方法实现过程繁琐,需要创建另外的注入器进程,主进程和从属注入器进程需要通讯,若通讯失败,则无法实现某些进程的注入,存在功能失效的情况。
发明内容
为解决上述技术问题,本发明提出了一种32位进程注入64位进程的方法及系统,所述方法及系统,用以解决现有技术中32位进程和64位进程交叉注入方法实现过程繁琐,需要创建另外的注入器进程的技术问题。
根据本发明的第一方面,提供一种远程32位进程注入64位进程的系统,所述系统包括函数定位层和注入处理层;
所述函数定位层用于将32位注入器进程的进程空间从x86工作模式切换至x64工作模式,定位出远程注入进程在x64模式下所需的64位ntdll中的关键Native API函数地址,定位完成后切换至x86工作模式,并将所述关键Native API函数地址传递到注入处理层;
所述注入处理层用于将远程注入模块的信息封装成所述关键Native API函数调用需要的参数,将进程切换至x64工作模式,调用远线程创建函数,实现将远程模块或远程进程注入到64位目标进程中,再切换至x86工作模式。
进一步地,所述函数定位层包括x86、x64模式切换模块和Native API定位模块;所述x86、x64模式切换模块用于进程内部x86和x64工作模式之间的切换,以满足其他模块或进程的工作环境要求;所述Native API定位模块,调用所述x86、x64模式切换模块,将工作环境切换至x64工作模式,用于定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式。
进一步地,所述关键Native API函数包括内存分配、管理函数、远线程创建函数,用于由注入处理层引用所述关键Native API函数实现远程模块或远程进程注入。
进一步地,所述注入处理层包括注入参数组装模块和远程注入模块;所述注入参数组装模块,用于将待注入的远程模块或远程进程信息,组装成符合系统格式的可执行shellcode代码;所述远程注入模块,用于调用所述x86、x64模式切换模块,将进程切换至x64工作模式,调用定位出的所述关键Native API函数及地址,将封装好的数据写入目标进程空间;再调用用户线程创建函数,实现远程模块或远程进程的远程注入,注入完成后,再切换回x86工作模式。
根据本发明第二方面,提供一种远程32位进程注入64位进程的方法,所述方法其于如前所述的远程32位进程注入64位进程的系统实现,执行以下步骤:
步骤S401:系统开机后,注册进程创建通知回调函数;
步骤S402:创建新的远程进程,检查所述远程进程状态;
步骤S403:检查所述远程进程是否为64位进程;若是,进入步骤S404;若否,进入步骤S407;
步骤S404:将32位注入器进程的进程空间切换至x64工作模式,定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式;
步骤S405:将待注入的远程进程信息,组装成符合系统格式的可执行shellcode代码,组装远程进程注入需要的参数模块,切换至x64工作模式,使用定位出的所述关键Native API函数地址将相关信息写入目标进程;
步骤S406:利用64位ntdll模块中的用户线程创建函数,实现远程进程的远程注入,注入完成后,再切换回x86工作模式;进入步骤S408;
步骤S407:使用线程CreatRemoteThread完成远程进程的远程注入;
步骤S408:检查是否退出系统,若是,方法结束;若否,进入步骤S402。
根据本发明第三方面,提供一种远程32位进程注入64位进程的装置,所述装置包括:
注册进程模块:用于在系统开机后,注册进程创建通知回调函数;
检查进程状态模块:用于创建新的远程进程,检查所述远程进程状态;
第一判断模块:用于检查所述远程进程是否为64位进程;
定位模块:用于将32位注入器进程的进程空间切换至x64工作模式,定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式;
写入模块:用于将待注入的远程进程信息,组装成符合系统格式的可执行shellcode代码,组装远程进程注入需要的参数模块,切换至x64工作模式,使用定位出的所述关键Native API函数地址将相关信息写入目标进程;
第一注入模块:用于利用64位ntdll模块中的用户线程创建函数,实现远程进程的远程注入,注入完成后,再切换回x86工作模式;
第二注入模块:用于使用线程CreatRemoteThread完成远程进程的远程注入;
第二判断模块:用于检查是否退出系统。
根据本发明第四方面,提供一种32位进程注入64位进程的系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的32位进程注入64位进程的方法。
根据本发明第五方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的32位进程注入64位进程的方法。
根据本发明的上述方案,能够解决32位进程不能注入64位进程的问题,将远程功能模块或远程进程注入到64位目标进程,32位的远程进程可同时注入32位和64位进程,不需要其他辅助进程。该方案简单、方便、从而保证硬件资源能够发挥最大性能,程序执行效率高,避免进程注入失败造成功能失效。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明提供如下附图进行说明。在附图中:
图1为现有技术中主注入程序为32位进程的32位进程和64位进程的交叉注入方法流程图;
图2为现有技术中主注入程序为64位进程的32位进程和64位进程的交叉注入方法流程图;
图3为本发明一个实施方式的远程32位进程注入64位进程的系统的总体架构图;
图4为本发明一个实施方式的远程32位进程注入64位进程的方法流程图;
图5为本发明一个实施方式的基于远程32位进程注入64位进程方法的进行远程监控的方法流程图;
图6为本发明一个实施方式的远程32位进程注入64位进程的装置结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先结合图3说明本发明的远程32位进程注入64位进程的系统的总体架构,图3示出了根据本发明的一个实施方式的远程32位进程注入64位进程的系统的总体架构图。如图3所示:
所述远程32位进程注入64位进程的系统包括函数定位层和注入处理层。
所述函数定位层用于将32位进程空间从x86工作模式切换至x64工作模式,定位出远程注入进程在x64模式下所需的64位ntdll中的关键Native API函数地址,定位完成后切换至x86工作模式,并将所述关键Native API函数地址传递到注入处理层。
所述函数定位层包括x86、x64模式切换模块和Native API定位模块。在64位操作系统环境中,32位进程空间存在x86、x64两种工作模式。所述x86、x64模式切换模块用于进程内部x86和x64工作模式之间的切换,以满足其他模块或进程的工作环境要求。所述Native API定位模块,调用所述x86、x64模式切换模块,将工作环境切换至x64工作模式,用于定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式。所述关键Native API函数包括但不限于内存分配、管理函数、远线程创建函数,用于由注入处理层引用所述关键Native API函数实现远程模块或远程进程注入。
所述注入处理层用于将远程注入模块的信息封装成所述关键Native API函数调用需要的参数,将进程切换至x64工作模式,调用远线程创建函数,实现将远程模块或远程进程注入到64位目标进程中,再切换至x86工作模式。
所述注入处理层包括注入参数组装模块和远程注入模块。所述注入参数组装模块,用于将待注入的远程模块或远程进程信息,组装成符合系统格式的可执行shellcode代码;所述远程注入模块,用于调用所述x86、x64模式切换模块,将进程切换至x64工作模式,调用定位出的所述关键Native API函数及地址,将封装好的数据写入目标进程空间;再调用用户线程创建函数,实现远程模块或远程进程的远程注入,注入完成后,再切换回x86工作模式。
以下结合图4说明本发明的远程32位进程注入64位进程的方法流程,图4示出了根据本发明的远程32位进程注入64位进程的方法流程图。让你述远程32位进程注入64位进程的方法基于所述远程32位进程注入64位进程的系统实现,如图4所示:
步骤S401:系统开机后,注册进程创建通知回调函数;
步骤S402:创建新的远程进程,检查所述远程进程状态;
所述新的远程进程是新创建的,是待注入的目标进程。
步骤S403:检查所述远程进程是否为64位进程;若是,进入步骤S404;若否,进入步骤S407;
步骤S404:将32位注入器进程的进程空间切换至x64工作模式,定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式;
在64位系统环境中,32位进程有两种工作模式(即x86和x64),默认处于x86工作模式。当32位注入器进程中要注入的目标为64位进程时,需要将32位注入器进程切换到x64模式,定位所需native api函数的地址,执行注入操作。因为ntdll模块在各进程空间内映射的地址为同一内存地址,因此,32位注入器进程切换到x64模式下,定位出的native api函数地址,在目标64位地址空间中有效,可以实现注入功能。
步骤S405:将待注入的远程进程信息,组装成符合系统格式的可执行shellcode代码,组装远程进程注入需要的参数模块,切换至x64工作模式,使用定位出的所述关键Native API函数地址将相关信息写入目标进程;
步骤S406:利用64位ntdll模块中的用户线程创建函数,实现远程进程的远程注入,注入完成后,再切换回x86工作模式;进入步骤S408;
步骤S407:使用线程CreatRemoteThread完成远程进程的远程注入;
步骤S408:检查是否退出系统,若是,方法结束;若否,进入步骤S402。
以下结合实施例进一步说明本发明的远程32位进程注入64位进程的方法。
以下结合图5说明本发明的基于远程32位进程注入64位进程方法的进行远程监控的方法。如图5所示:
步骤S501:进入windows桌面操作系统后,登录V3账号系统,验证通过后进入步骤S502;
步骤S502:同步文件操作审查策略;
步骤S503:注入审查模块到资源管理器进程;
步骤S504:所述资源管理器进行文件操作,所述文件操作包括拷贝、删除;
步骤S505:所述审查模块根据配置的策略,监控所述文件操作行为,并上传操作日志给服务器;
步骤S506:检查是否退出系统,若是,方法结束;若否,进入步骤S502。
其中步骤S503:注入审查模块到资源管理器进程,采用如前所述的远程32位进程注入64位进程方法。
本发明的远程32位进程注入64位进程方法,可以应用于文件操作记录审计、外发文件的审查等方面。
本发明实施例进一步给出一种远程32位进程注入64位进程的装置,如图6所示,所述装置包括:
注册进程模块:用于在系统开机后,注册进程创建通知回调函数;
检查进程状态模块:用于创建新的远程进程,检查所述远程进程状态;
第一判断模块:用于检查所述远程进程是否为64位进程;
定位模块:用于将32位注入器进程的进程空间切换至x64工作模式,定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式;
写入模块:用于将待注入的远程进程信息,组装成符合系统格式的可执行shellcode代码,组装远程进程注入需要的参数模块,切换至x64工作模式,使用定位出的所述关键Native API函数地址将相关信息写入目标进程;
第一注入模块:用于利用64位ntdll模块中的用户线程创建函数,实现远程进程的远程注入,注入完成后,再切换回x86工作模式;
第二注入模块:用于使用线程CreatRemoteThread完成远程进程的远程注入;
第二判断模块:用于检查是否退出系统。
本发明实施例进一步给出一种实现远程32位进程注入64位进程的系统,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如前所述的远程32位进程注入64位进程的方法。
本发明实施例进一步给出一种计算机可读存储介质,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如前所述的远程32位进程注入64位进程的方法。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,实体机服务器,或者网络云服务器等,需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (8)

1.一种远程32位进程注入64位进程的系统,其特征在于,所述系统包括函数定位层和注入处理层;
所述函数定位层用于将32位进程空间从x86工作模式切换至x64工作模式,定位出远程注入进程在x64模式下所需的64位ntdll中的关键Native API函数地址,定位完成后切换至x86工作模式,并将所述关键Native API函数地址传递到注入处理层;
所述注入处理层用于将远程注入模块的信息封装成所述关键Native API函数调用需要的参数,将进程切换至x64工作模式,调用远线程创建函数,实现将远程模块或远程进程注入到64位目标进程中,再切换至x86工作模式。
2.如权利要求1所述的远程32位进程注入64位进程的系统,其特征在于,所述函数定位层包括x86、x64模式切换模块和Native API定位模块;所述x86、x64模式切换模块用于进程内部x86和x64工作模式之间的切换,以满足其他模块或进程的工作环境要求;所述NativeAPI定位模块,调用所述x86、x64模式切换模块,将工作环境切换至x64工作模式,用于定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式。
3.如权利要求2所述的远程32位进程注入64位进程的系统,其特征在于,所述关键Native API函数包括内存分配、管理函数、远线程创建函数,用于由注入处理层引用所述关键Native API函数实现远程模块或远程进程注入。
4.如权利要求1所述的远程32位进程注入64位进程的系统,其特征在于,所述注入处理层包括注入参数组装模块和远程注入模块;所述注入参数组装模块,用于将待注入的远程模块或远程进程信息,组装成符合系统格式的可执行shellcode代码;所述远程注入模块,用于调用所述x86、x64模式切换模块,将进程切换至x64工作模式,调用定位出的所述关键Native API函数及地址,将封装好的数据写入目标进程空间;再调用用户线程创建函数,实现远程模块或远程进程的远程注入,注入完成后,再切换回x86工作模式。
5.一种远程32位进程注入64位进程的方法,所述方法其于如权利要求1-4之任一项所述的远程32位进程注入64位进程的系统实现,其特征在于,执行以下步骤:
步骤S401:系统开机后,注册进程创建通知回调函数;
步骤S402:创建新的远程进程,检查所述远程进程状态;
步骤S403:检查所述远程进程是否为64位进程;若是,进入步骤S404;若否,进入步骤S407;
步骤S404:将32位注入器进程的进程空间切换至x64工作模式,定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式;
步骤S405:将待注入的远程进程信息,组装成符合系统格式的可执行shellcode代码,组装远程进程注入需要的参数模块,切换至x64工作模式,使用定位出的所述关键NativeAPI函数地址将相关信息写入目标进程;
步骤S406:利用64位ntdll模块中的用户线程创建函数,实现远程进程的远程注入,注入完成后,再切换回x86工作模式;进入步骤S408;
步骤S407:使用线程CreatRemoteThread完成远程进程的远程注入;
步骤S408:检查是否退出系统,若是,方法结束;若否,进入步骤S402。
6.一种远程32位进程注入64位进程的装置,其特征在于,所述装置包括:
注册进程模块:用于在系统开机后,注册进程创建通知回调函数;
检查进程状态模块:用于创建新的远程进程,检查所述远程进程状态;
第一判断模块:用于检查所述远程进程是否为64位进程;
定位模块:用于将32位注入器进程的进程空间切换至x64工作模式,定位64位ntdll模块中的关键Native API函数地址,定位完成后将工作模式切换回x86工作模式;
写入模块:用于将待注入的远程进程信息,组装成符合系统格式的可执行shellcode代码,组装远程进程注入需要的参数模块,切换至x64工作模式,使用定位出的所述关键Native API函数地址将相关信息写入目标进程;
第一注入模块:用于利用64位ntdll模块中的用户线程创建函数,实现远程进程的远程注入,注入完成后,再切换回x86工作模式;
第二注入模块:用于使用线程CreatRemoteThread完成远程进程的远程注入;
第二判断模块:用于检查是否退出系统。
7.一种实现远程32位进程注入64位进程的系统,其特征在于,包括:
处理器,用于执行多条指令;
存储器,用于存储多条指令;
其中,所述多条指令,用于由所述存储器存储,并由所述处理器加载并执行如权利要求5所述的远程32位进程注入64位进程的方法。
8.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令;所述多条指令,用于由处理器加载并执行如权利要求5所述的远程32位进程注入64位进程的方法。
CN201911142730.4A 2019-11-20 2019-11-20 一种远程32位进程注入64位进程的方法及系统 Active CN111026452B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911142730.4A CN111026452B (zh) 2019-11-20 2019-11-20 一种远程32位进程注入64位进程的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911142730.4A CN111026452B (zh) 2019-11-20 2019-11-20 一种远程32位进程注入64位进程的方法及系统

Publications (2)

Publication Number Publication Date
CN111026452A true CN111026452A (zh) 2020-04-17
CN111026452B CN111026452B (zh) 2023-10-20

Family

ID=70205981

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911142730.4A Active CN111026452B (zh) 2019-11-20 2019-11-20 一种远程32位进程注入64位进程的方法及系统

Country Status (1)

Country Link
CN (1) CN111026452B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113760338A (zh) * 2020-06-05 2021-12-07 北京字跳网络技术有限公司 切换应用程序二进制接口abi的方法、装置及电子设备

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6973562B1 (en) * 2000-01-14 2005-12-06 Advanced Micro Devices, Inc. Establishing an operating mode in a processor
CN102841795A (zh) * 2011-06-24 2012-12-26 镇江华扬信息科技有限公司 一种远程线程注入技术方法
CN103218231A (zh) * 2013-04-23 2013-07-24 浪潮集团山东通用软件有限公司 一种解决x64位操作系统环境访问32位控件的通用方法
CN104951296A (zh) * 2014-03-28 2015-09-30 英特尔公司 允许一种架构的代码模块使用另一种架构的库模块的架构间兼容模块
CN105184151A (zh) * 2015-09-23 2015-12-23 北京北信源软件股份有限公司 32位进程和64位进程交叉注入方法及装置
CN105487846A (zh) * 2014-09-19 2016-04-13 国家电网公司 快速开发x86/x64平台shellcode的方法及系统
CN106293967A (zh) * 2016-08-03 2017-01-04 武汉斗鱼网络科技有限公司 一种远程注入代码的方法及系统
CN107077337A (zh) * 2014-12-09 2017-08-18 英特尔公司 用于执行根据两个指令集架构编译的应用编码的系统和方法
CN107430661A (zh) * 2015-03-03 2017-12-01 Avg荷兰私人有限公司 计算设备的离线扫描方法和系统
CN107479874A (zh) * 2017-07-11 2017-12-15 北京明朝万达科技股份有限公司 一种基于Windows平台的DLL注入方法及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6973562B1 (en) * 2000-01-14 2005-12-06 Advanced Micro Devices, Inc. Establishing an operating mode in a processor
CN102841795A (zh) * 2011-06-24 2012-12-26 镇江华扬信息科技有限公司 一种远程线程注入技术方法
CN103218231A (zh) * 2013-04-23 2013-07-24 浪潮集团山东通用软件有限公司 一种解决x64位操作系统环境访问32位控件的通用方法
CN104951296A (zh) * 2014-03-28 2015-09-30 英特尔公司 允许一种架构的代码模块使用另一种架构的库模块的架构间兼容模块
CN105487846A (zh) * 2014-09-19 2016-04-13 国家电网公司 快速开发x86/x64平台shellcode的方法及系统
CN107077337A (zh) * 2014-12-09 2017-08-18 英特尔公司 用于执行根据两个指令集架构编译的应用编码的系统和方法
CN107430661A (zh) * 2015-03-03 2017-12-01 Avg荷兰私人有限公司 计算设备的离线扫描方法和系统
CN105184151A (zh) * 2015-09-23 2015-12-23 北京北信源软件股份有限公司 32位进程和64位进程交叉注入方法及装置
CN106293967A (zh) * 2016-08-03 2017-01-04 武汉斗鱼网络科技有限公司 一种远程注入代码的方法及系统
CN107479874A (zh) * 2017-07-11 2017-12-15 北京明朝万达科技股份有限公司 一种基于Windows平台的DLL注入方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113760338A (zh) * 2020-06-05 2021-12-07 北京字跳网络技术有限公司 切换应用程序二进制接口abi的方法、装置及电子设备

Also Published As

Publication number Publication date
CN111026452B (zh) 2023-10-20

Similar Documents

Publication Publication Date Title
CN111338854B (zh) 基于Kubernetes集群快速恢复数据的方法及系统
US10255088B2 (en) Modification of write-protected memory using code patching
US7877091B2 (en) Method and system for executing a container managed application on a processing device
CN109491725B (zh) 应用程序可交互多开方法和系统、存储介质、电子设备
EP3138001B1 (en) Methods and systems for managing multiple applications
WO2021196597A1 (zh) 业务插件加载实现方法、装置和终端设备
US20070240171A1 (en) Device, Method, And Computer Program Product For Accessing A Non-Native Application Executing In Virtual Machine Environment
CN109710317B (zh) 系统启动方法、装置、电子设备及存储介质
CN111787126B (zh) 容器创建方法、服务器及存储介质
CN109062619B (zh) 第三方存储设备统一管理方法、系统、装置及存储介质
CN114281263B (zh) 容器集群管理系统的存储资源处理方法、系统和设备
CN115335806A (zh) 以模块粒度的影子堆栈违规强制
CN108228842B (zh) Docker镜像库文件存储方法、终端、设备以及存储介质
CN111026452B (zh) 一种远程32位进程注入64位进程的方法及系统
CN112965760A (zh) 修改根目录的方法、装置、电子设备和可读存储介质
CN103019847A (zh) 对虚拟机数据进行迁移的方法及系统
CN115774700A (zh) 文件共享方法、装置、计算机设备及存储介质
CN110704249A (zh) 一种保证应用一致性的方法、装置及系统
CN112698912B (zh) 一种Java Card虚拟机运行环境及内存管理方法
CN113132241B (zh) Acl模板动态配置方法及装置
CN115629809A (zh) 数据处理方法、装置、电子设备及计算机可读存储介质
CN110968852B (zh) 一种虚拟机密码管理方法、系统、设备及计算机存储介质
CN110311949B (zh) 一种跨云管理平台的资源管理方法
CN110286956B (zh) 插件的运行方法、装置及电子设备
CN108804236B (zh) 一种aidl文件的共享方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant