CreateRemoteThread，错误5

Question

我试图从32位进程向64位Windows进程注入一个存根，然后在x64进程中远程启动一个线程。这造成了一些问题，因为winapi的CreateRemoteThread正在抛出错误代码5，这将转换为ERROR_ACCESS_DENIED，无论我在调用OpenProcess时使用哪个标志。我读到这是因为Windows不允许注入“跨平台”，但我不认为这是问题所在，因为代码注入得很好。

我在调用GetLastError()之后立即使用CreateRemoteThread()，它显示了错误代码5。

我正在为OpenProcess使用这组标志，但没有成功：

PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE

就像PROCESS_ALL_ACCESS一样。

有人知道是什么导致了这个错误吗？

Answer 1

不支持从32位进程(目标进程为64位)调用CreateRemoteThread。您需要从64位进程调用CreateRemoteThread。

Answer 2

做不到。您不能在64位进程中运行32位代码，也不能在32位进程中运行64位代码。

解决方案是将注入代码重新构建为64位。

这是故意的。处理器在32位和64位模式下的工作方式并不完全相同，您不能从一种模式切换到另一种模式，然后再切换一次。有几件事大不相同：

• 推和流行指令总是64位在64位模式.因此，32位代码将推动64位值，因此void foo(int x, int y)将得到涵盖x和y的64位x。这会影响堆栈上的变量和函数中的其他所有变量的偏移量。
• 实际的调用约定是不同的-32位模式使用不同和更少的寄存器将参数传递给函数(如果任何参数通过寄存器传递-它是可选的)，其中64位模式总是使用寄存器和更多的寄存器。因此，来自32位模式的调用会将数据放置在64位模式的错误位置，等等。
• 一些普通指令的指令编码是不同的--主要是0x40-0x4f是推送/弹出所有寄存器的单字节指令，其中这个范围是64位模式下的REX (寄存器扩展)前缀。64位模式使用两字节编码，该编码是为了允许一组更灵活的推送/弹出指令，在第二个字节内描述多个寻址模式。

还有很多其他的东西也不同，但这些应该足以证明“它不是那样工作的”。