一、DLL注入技術的用途
DLL注入技術的用途是很廣泛的,這主要體現在:
1、假如你要操縱的對象涉及的數據不在進程內;
2、你想對目標進程中的函數進行攔截(甚至API函數,嘿嘿,由此編寫個攔截timeGettime的過程,變速齒輪不就出來了麼?改天我試試),比如對它所屬窗口進行子類化。
3、你想編寫一些函數用於增強或增加目標進程功能,比如可以給目標進程的某個窗口插入個消息循環增加其響應能力。(Mfc Windows程序設計稱之爲消息泵)。
4、隱藏自己的程序,很多惡意程序都是這樣做的,即使你將惡意程序的進程結束掉也毫無意義了,因爲它自己已經插入到很多進程中去了,唯一有效的辦法只有註銷windows.。如果你是個愛搞破壞的人就更應該掌握該技術了,不但可以利用該技術實現隱藏自己的進程,還可以破壞某個目標進程。因爲將破壞代碼插入到目標進程進行破壞的話簡直易如反掌。不信試試?:(
二、實現DLL注入的另一種方法
1、將DLL注入進程技術在實現Api函數的監視程序中不可缺少的一項工作。其中最常見的就是用SetWindowsHookEx函數實現了。不過,該方法的缺點是被監視的目標進程必須有窗口,這樣,SetWindowsHookEx才能將DLL注入目標進程中。而且,目標程序已經運行了,那麼,在窗口創建之前的Api函數就不能被Hook了。
2、另外一種方法用Debug方案,就可以實現在程序創建時監視所有的Api了,缺點是必須是目標進程的Debug源,在監視程序終了時,目標進程會無條件終了。最大的缺點就是無法調試注入的DLL。
3、還有其他多種方案也可以實現DLL的注入,在《Windows核心編程》一書中就介紹了8-9種,其中有一種採用CreateProcess的方法,實現起來比較複雜,但沒有上面幾種方法的侷限性。且可以用其他工具(VC等)調試注入的DLL。下面進行介紹。
原理如下:
1). 用CreateProcess(CREATE_SUSPENDED)啓動目標進程。
2). 找到目標進程的入口,用ImageHlp中的函數可以實現。
3). 將目標進程入口的代碼保存起來。
4). 在目標進程的入口寫入LoadLibrary(MyDll)實現Dll的注入。
5). 用ResumeThread運行目標進程。
6). 目標進程就運行了LoadLibrary(MyDll),實現DLL的注入。
7). 目標進程運行完LoadLibrary(MyDll)後,將原來的代碼寫回目標進程的入口。
8). 目標進程Jmp至原來的入口,繼續運行程序。
從原理上可以看出,DLL的注入在目標進程的開始就運行了,而且不是用Debug的方案,這樣,就沒有上面方案的侷限性了。該方案的關鍵在6,7,8三步,實現方法需要監視進程和DLL合作。下面,結合代碼進行分析。
在監視進程中,創建FileMapping,用來保存目標進程的入口代碼,同時保證DLL中可以訪問。在第7步實現將原目標代碼寫回目標進程的入口。
- // 監視程序和DLL共用的結構體
- #pragma pack (push ,1) // 保證下面的結構體採用BYTE對齊(必須)
- typedef struct
- {
- BYTE int_PUSHAD; // pushad 0x60
- BYTE int_PUSH; // push &szDLL 0x68
- DWORD push_Value; // &szDLL = "ApiSpy.dll"的path
- BYTE int_MOVEAX; // move eax &LoadLibrary 0xB8
- DWORD eax_Value; // &LoadLibrary
- WORD call_eax; // call eax 0xD0FF(FF D0) (LoadLibrary("ApiSpy.dll");
- BYTE jmp_MOVEAX; // move eax &ReplaceOldCode 0xB8
- DWORD jmp_Value; // JMP的參數
- WORD jmp_eax; // jmp eax 0xE0FF(FF E0) jmp ReplaceOldCode;
- char szDLL[MAX_PATH]; // "ApiSpy.dll"的FullPath
- }INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE;
- #pragma pack (pop , 1)
上面結構體的代碼爲彙編代碼,對應的彙編爲:
- pushad
- push szDll
- mov eax, &LoadLibraryA
- call eax // 實現調用LoadLibrary(szDll)的代碼
- mov eax, oldentry
- jmp eax // 實現在LoadLibrary運行完後, 跳至目標進程的入口繼續運行
- // FileMaping的結構體
- typedef struct
- {
- LPBYTE lpEntryPoint; // 目標進程的入口地址
- BYTE oldcode[sizeof(INJECT_CODE)]; // 目標進程的代碼保存
- }SPY_MEM_SHARE, * LPSPY_MEM_SHARE;
準備工作:
第一步:用CreateProcess(CREATE_SUSPENDED)啓動目標進程。
- CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED
- 0, NULL, &stInfo,
- &m_proInfo) ;
用CreateProcess啓動一個暫停的目標進程;
找到目標進程的入口點,函數如下
第二步:找到目標進程的入口,用ImageHlp中的函數可以實現。
- pEntryPoint = GetExeEntryPoint(szRunFile);
- LPBYTE GetExeEntryPoint(char *filename)
- {
- PIMAGE_NT_HEADERS pNTHeader;
- DWORD pEntryPoint;
- PLOADED_IMAGE pImage;
- pImage = ImageLoad(filename, NULL);
- if(pImage == NULL)
- return NULL;
- pNTHeader = pImage->FileHeader;
- pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader->OptionalHeader.ImageBase;
- ImageUnload(pImage);
- return (LPBYTE)pEntryPoint;
- }
// 創建FileMapping
- hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,
- PAGE_READWRITE, 0, sizeof(SPY_MEM_SHARE), “MyDllMapView”);
// 保存目標進程的代碼
第三步:將目標進程入口的代碼保存起來。
- LPSPY_MEM_SHARE lpMap = pMapViewOfFile(hMap, FILE_MAP_ALL_ACCESS,0, 0, 0);
- ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,&lpMap->oldcode, sizeof(INJECT_CODE),&cBytesMoved);
- lpMap->lpEntryPoint = pEntryPoint;
// 第四步:在目標進程的入口寫入LoadLibrary(MyDll)實現Dll的注入。
// 準備注入DLL的代碼
- INJECT_CODE newCode;
- // 寫入MyDll―――用全路徑
- lstrcpy(newCode.szDLL, szMyDll);
- // 準備硬代碼(彙編代碼)
- newCode.int_PUSHAD = 0x60;
- newCode.int_PUSH = 0x68;
- newCode.int_MOVEAX = 0xB8;
- newCode.call_eax = 0xD0FF;
- newCode.jmp_MOVEAX = 0xB8;
- newCode.jmp_eax = 0xE0FF;
- newCode.eax_Value = (DWORD)&LoadLibrary;
- newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL));
- // 將硬代碼寫入目標進程的入口
- // 修改內存屬性
- DWORD dwNewFlg, dwOldFlg;
- dwNewFlg = PAGE_READWRITE;
- VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg);
- WriteProcessMemory(m_proInfo.hProcess, pEntryPoint,&newCode, sizeof(newCode), NULL);//&dwWrited);
- VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg);
- // 釋放FileMaping 注意,不是Closehandle(hMap)
- UnmapViewOfFile(lpMap);
// 繼續目標進程的運行
第五步:用ResumeThread運行目標進程。
- ResumeThread(m_proInfo.hThread);
在監視進程中就結束了自己的任務,剩下的第6,7,8步就需要在Dll的DllMain中進行配合。
DLL中用來保存數據的結構體
- typedef struct
- {
- DWORD lpEntryPoint;
- DWORD OldAddr;
- DWORD OldCode[4];
- }JMP_CODE,* LPJMP_CODE;
- static JMP_CODE _lpCode;
// 在DllMain的DLL_PROCESS_ATTACH中調用InitApiSpy函數
// 在該函數中實現第6,7,8步
第六步:目標進程就運行了LoadLibrary(MyDll),實現DLL的注入。
- int WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)
- {
- switch(dwReason)
- {
- case DLL_PROCESS_ATTACH:
- return InitApiSpy();
- ……
// InitApiSpy函數的實現
- BOOL WINAPI InitApiSpy()
- {
- HANDLE hMap;
- LPSPY_MEM_SHARE lpMem;
- DWORD dwSize;
- BOOL rc;
- BYTE* lpByte;
- // 取得FileMapping的句柄
- hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);
- if(hMap)
- {
- lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);
- if(lpMem)
- {
第七步:目標進程運行完LoadLibrary(MyDll)後,將原來的代碼寫回目標進程的入口。
- BOOL WINAPI InitApiSpy()
- {
- HANDLE hMap;
- LPSPY_MEM_SHARE lpMem;
- DWORD dwSize;
- BOOL rc;
- BYTE* lpByte;
- // 取得FileMapping的句柄
- hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);
- if(hMap)
- {
- lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0, 0, 0);
- if(lpMem)
- {
- // 恢復目標進程的入口代碼
- // 得到mov eax, value代碼的地址
- _lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX));
- _lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint;
- // 保存LoadLibrary()後面的代碼
- memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD));
- // 恢復目標進程的入口代碼
- rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize);
- lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX);
- UnmapViewOfFile(lpMem);
- }
- CloseHandle(hMap);
- }
- // 實現自己Dll的其他功能,如導入表的替換
- // ……
- // 將LoadLibrary後面的代碼寫爲轉入處理程序中
- // 指令爲:mov eax, objAddress
- // jmp eax
- {
- BYTE* lpMovEax;
- DWORD* lpMovEaxValu;
- WORD* lpJmp;
- DWORD fNew, fOld;
- fNew = PAGE_READWRITE;
- lpMovEax = lpByte;
- VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld);
- *lpMovEax = 0xB8;
- lpMovEaxValu = (DWORD*)(lpMovEax + 1);
- *lpMovEaxValu = (DWORD)&DoJmpEntryPoint;
- lpJmp = (WORD*)(lpMovEax + 5);
- *lpJmp = 0xE0FF; // (FF E0)
- VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew);
- }
- return TRUE;
- }
- // 轉入處理程序
- DWORD* lpMovEax;
- DWORD fNew, fOld;
- void __declspec(naked) DoJmpEntryPoint ()
- {
- // 恢復LoadLibrary後面的代碼
- _gfNew = PAGE_READWRITE;
- _glpMovEax = (DWORD*)_lpCode.OldAddr;
- VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld);
- *_glpMovEax = _lpCode.OldCode[0];
- *(_glpMovEax + 1) = _lpCode.OldCode[1];
- VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew);
- //第八步:目標進程Jmp至原來的入口,繼續運行程序。
- // 跳至目標代碼的入口
- _asm popad
- _asm jmp _lpCode.lpEntryPoint
- }
第八步:目標進程Jmp至原來的入口,繼續運行程序。
- // 跳至目標代碼的入口
- _asm popad
- _asm jmp _lpCode.lpEntryPoint
- }
這樣就實現了原來的目標,將DLL的注入放在目標進程的入口運行,實現了目標進程運行之前運行我們的注入Dll的功能。