我們知道將動態連接庫注入到其他進程中有很多種方法。最常見的方法是使用鉤子函數(Hook),但是這種方法主要有兩個缺點:第一如果某個進程沒有加載User32.dll,那麼Hook DLL將永遠也不會被加載。第二Hook DLL加載的時機問題,只有在進程發出User32調用的時候, Hook DLL纔有可能被加載。也就是說假設進程正在進行復雜的數值計算而沒有時間進行消息調用的時候,Hook DLL是不會被加載。理論上我們沒有精確的辦法來確定我們的Hook DLL是否已經注入到我們想要的進程中。另外一種最常見的方法是使用函數CreateRemoteThread,在其他進程中開啓一個線程來裝載DLL。應該說這是一種比較完美的解決放案,這種方法避免了上述使用鉤子函數的所有缺點,但是遺憾的是這個函數只能使用在WinNT/2000下。
本文將討論一種將動態連接庫注入到其他進程中的一種新方法。它的思路與使用函數CreateRemoteThread的方法相類似,只不過可以使用在Win9x,Win2k,WinXP等操作系統下。在這裏我們將向讀者演示我們是如何將DLL(InjectDll.dll)注入到Explorer.exe進程中!
程序的思路如下
1:得到Explorer.exe進程中任意一個線程的ID.
2:根據這個線程的ID,得到這個線程的句柄Handle
3:掛起這個線程,並保存線程當前的“上下文”
4:改變這個線程的EIP指針,使它指向我們裝載DLL的函數(InjectCodeFun),然後恢復這個線程。
5:我們的裝載DLL的函數運行完成後,再次掛起這個線程,使用我們以前保存的“上下文”,恢復這個線程到它被改變前的狀態,並繼續運行。
經過上述幾個步驟,Explorer.exe進程中就會替我們裝載我們的DLL(InjectDll.dll)了,有趣的是Explorer.exe對此絲毫沒有察覺任何異常 !
下面我們將詳細解釋一下如何編程實現上述過程。
步驟1的實現是很容易的,我們只需要調用ToolHelp的函數就可以得到我們所要得,這裏我們就不詳細說明了,請參考源代碼中GetProcessID, GetThreadID 兩個函數。
步驟2就比較麻煩了,在Win9x中沒有提供一個函數可以由Thread ID得到Thread Handle(幸運的是Win2K提供這種功能)。好在我們在國外一些BBS上可以找到這個函數,它使用了一些未公開的結構,本文的目的不是討論這個問題,讀者如果有興趣的話,可以參考我們的源代碼OpenThread2函數。這個函數的作用就是傳入一個Thread ID參數返回相應的 Thread Handle。
步驟3 的實現也是很容易和規範的,我們可以用SuspendThread,GetThreadContext等SDK函數輕鬆完成。
步驟4 這個步驟是最重要的步驟了。爲了說明方便,我們將引用我們源代碼中的語句,請讀者參考源代碼中InjectCodeIntoThread 函數。
首先改變線程的EIP指針,我們可以用下列代碼完成
ThreadContext.Eip = (DWORD)m_lpCodeBase;
SetThreadContext(m_hInjectThread,&ThreadContext);
變量m_lpCodeBase指向我們的裝載DLL的函數(InjectCodeFun)的首地址。
這裏最關鍵的部分是我們如何產生我們的裝載DLL的函數(InjectCodeFun)。注意我們不能簡單地在我們的程序裏寫一個函數,然後將它的首地址賦值給EIP。這是因爲裝載DLL的函數是要運行在Explorer.exe地址空間中的,如果我們使用自己地址空間中的函數的話,那麼必然會導致系統崩潰。解決的辦法是將我們寫的裝載DLL函數(InjectCodeFun)放在所有程序共享的地址空間中去,在Win9x中0x80000000 ~ 0xFFFFFFFF這段地址就是我們想要的共享地址空間,那麼如何將我們寫的裝載DLL函數放在這段地址空間呢 ?方法有很多,我們使用一種規範的方法“內存映像文件”來解決這個問題。我們通過函數CreateFileMapping來分配一段共享地址空間,然後將我們寫的裝載DLL函數拷貝到這段地址空間中去。具體代碼請參源代碼中InitInject函數。
在我們寫的裝載DLL函數(InjectCodeFun)中還有兩個問題我們需要解釋一下,第一 在這個函數中我們不能使用任何我們自己程序中定義的變量,道理跟上面講的一樣,因爲地址空間不同。還有我們不能直接調用函數,例如在InjectCodeFun中直接使用LoadLibray。這是因爲如果直接使用LoadLibray那麼就需要經過程序的Import表,跳轉一下才能到達真正的Windows的LoadLibray函數。但是不同的進程有不同的Import,所以我們不能直接調用函數。我們可以使用一種叫做“動態構造函數”的技術來創建我們的函數。首先用GetProcAddress得到函數LoadLibray的直接地址,然後在調用LoadLibray的地方,使用一個特殊的數字來代替它如 0x11111111,最後在將我們的函數拷貝到共享地址空間之後,搜索共享內存找到這個特殊數字,用我們先前得到的正確地址替換它既可。第二個有趣的現象是我們所寫的裝載DLL函數(InjectCodeFun)是不應該返回的。這是因爲這個函數是在Explorer的線程中運行的,我們不知道堆棧的正確內容,不知道ESP所指向的地址是什麼,如果函數返回的話,我們將失去對程序的控制。我們的辦法是,當調用完LoadLibray之後,向我們的主程序發送一個自定義消息,通告我們的程序已經完成裝載任務,然後讓線程進入死循環狀態。
步驟5當我們的程序接受到了自定義消息後,就會再次掛起這個線程,把我們以前保存的線程的“上下文”用函數SetThreadContext恢復,然後恢復運行這個線程。結果是Explorer.exe絲毫沒有感覺到自己被中斷過。
以上就是我們所介紹的方法,讀者可以參考我們的源代碼來具體瞭解上述方法。源代碼的功能是將我們的DLL(InjectDll.dll)注入到Explorer.exe 中,在InjectDll.dll中我們創建了一個新的線程,然後在屏幕的左上角顯示當前的時間。源代碼分爲Win9x版本和Win2k版本,這兩個版本的主要差別是分配共享內存的方法不同而已。源代碼已經在PWn98,PwinMe,Win2k,WinXP等操作系統下,使用VC6編譯通過。
讀者可以在下列網址:http://webaide.myetang.com/ 或http://netaide.top263.net/ 的“下載”頁面中找到源代碼。
作者: RobinHao ([email protected])
轉載請徵得作者同意.