什么是原子操作
资源原本的值是A,现在将资源的值修改为B,在这个过程中,其他线程访问该资源时,获取的值要么是A,要么是B,不会有中间值出现。
需求
最近在写一个程序的时候,需要hook其他进程代码(64位进程),对稳定性要求很高,另外为了提高隐蔽性,打算用WriteProcessMemory写入shellcode,这样不用注入dll。
hook方式的选择
inline hook和IAT hook都能满足我的要求,但是inline hook肯定不是原子操作,所以有一定机率造成其他进程崩溃。
那么IAT hook是否是原子操作呢,WriteProcessMemory最终会调用ntoskrnl的NtWriteVirtualMemory函数,该函数又会调用KeStackAttachProcess附加到目标进程,然后调用memmove修改内存。
而memmove在内存地址为8字节对齐的情况下,会用mov指令修改内存,恰好导入表函数地址一般情况都是8字节对齐的,而根据Intel手册,这就是一个原子操作。
原子级内存操作
- 一个字节的读写
- 对齐到16位边界的字的读写
- 对齐到32位边界的双字的读写
- 对齐到64位边界的四字的读写
- 未缓存且在32位数据总线范围之内的内存地址的访问
- 对单个cache line中缓存地址的未对齐的16/32/64位访问