一、背景
本篇是關於上一篇進程及DLL獲取核心實現的延展,通過對進程注入自定義的dll文件(當然還可以通過無dll方式注入),實現基於進程的隱藏攻擊,增加發現難度。
針對windows常見且常用API函數到此爲止,後續將陸續更新逆向、HOOK等相關核心技術實現。
二、代碼
選擇要注入的進程,本篇通過對notepad++實現dll注入。
點擊DLL注入按鈕,其中DLL路徑是我寫死到程序中的。
點擊“注入”後,相應的進程便增加了DllTest.dll測試文件。
當我們切換到notepad++頁面,已彈出自定義的測試對話框。
父代碼:
// processTestDlg.cpp : 實現文件
//
#include "stdafx.h"
#include "processTest.h"
#include "processTestDlg.h"
#include "afxdialogex.h"
#include <Tlhelp32.h>
#include "RegAdd.h"
#include <windows.h>
#ifdef _DEBUG
#define new DEBUG_NEW
#endif
typedef void (*PFUNMSG)(char *);
// 用於應用程序“關於”菜單項的 CAboutDlg 對話框
class CAboutDlg : public CDialogEx
{
public:
CAboutDlg();
// 對話框數據
enum { IDD = IDD_ABOUTBOX };
protected:
virtual void DoDataExchange(CDataExchange* pDX); // DDX/DDV 支持
// 實現
protected:
DECLARE_MESSAGE_MAP()
};
CAboutDlg::CAboutDlg() : CDialogEx(CAboutDlg::IDD)
{
}
void CAboutDlg::DoDataExchange(CDataExchange* pDX)
{
CDialogEx::DoDataExchange(pDX);
}
BEGIN_MESSAGE_MAP(CAboutDlg, CDialogEx)
END_MESSAGE_MAP()
// CprocessTestDlg 對話框
CprocessTestDlg::CprocessTestDlg(CWnd* pParent /*=NULL*/)
: CDialogEx(CprocessTestDlg::IDD, pParent)
{
m_hIcon = AfxGetApp()->LoadIcon(IDR_MAINFRAME);
}
void CprocessTestDlg::DoDataExchange(CDataExchange* pDX)
{
CDialogEx::DoDataExchange(pDX);
DDX_Control(pDX, IDC_LIST2, m_RunList);
DDX_Control(pDX, IDC_LIST3, m_dll_RunList);
}
BEGIN_MESSAGE_MAP(CprocessTestDlg, CDialogEx)
ON_WM_SYSCOMMAND()
ON_WM_PAINT()
ON_WM_QUERYDRAGICON()
ON_BN_CLICKED(IDC_BUTTON1, &CprocessTestDlg::OnBnClickedButton1)
ON_BN_CLICKED(IDC_BUTTON2, &CprocessTestDlg::OnBnClickedButton2)
END_MESSAGE_MAP()
// CprocessTestDlg 消息處理程序
BOOL CprocessTestDlg::OnInitDialog()
{
CDialogEx::OnInitDialog();
// 將“關於...”菜單項添加到系統菜單中。
// IDM_ABOUTBOX 必須在系統命令範圍內。
ASSERT((IDM_ABOUTBOX & 0xFFF0) == IDM_ABOUTBOX);
ASSERT(IDM_ABOUTBOX < 0xF000);
CMenu* pSysMenu = GetSystemMenu(FALSE);
if (pSysMenu != NULL)
{
BOOL bNameValid;
CString strAboutMenu;
bNameValid = strAboutMenu.LoadString(IDS_ABOUTBOX);
ASSERT(bNameValid);
if (!strAboutMenu.IsEmpty())
{
pSysMenu->AppendMenu(MF_SEPARATOR);
pSysMenu->AppendMenu(MF_STRING, IDM_ABOUTBOX, strAboutMenu);
}
}
// 設置此對話框的圖標。當應用程序主窗口不是對話框時,框架將自動
// 執行此操作
SetIcon(m_hIcon, TRUE); // 設置大圖標
SetIcon(m_hIcon, FALSE); // 設置小圖標
// TODO: 在此添加額外的初始化代碼
// HMODULE hModule = LoadLibrary("DllTest.dll");
// if ( hModule == NULL )
// {
// MessageBox("DllTest.dll文件不存在");
// return -1;
// }
// PFUNMSG pFunMsg = (PFUNMSG)GetProcAddress(hModule, "MsgBox");
// pFunMsg("Hello First Dll !");
DebugPrivilege();
InitProcessList();
ShowProcess();
return TRUE; // 除非將焦點設置到控件,否則返回 TRUE
}
//獲取進程信息
void CprocessTestDlg::ShowProcess(){
// 清空列表框內容
m_RunList.DeleteAllItems();
// 創建進程快照
//參數:枚舉進程
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if ( hSnap == INVALID_HANDLE_VALUE )
{
AfxMessageBox("CreateToolhelp32Snapshot Error");
return ;
}
PROCESSENTRY32 Pe32 = { 0 };
Pe32.dwSize = sizeof(PROCESSENTRY32);
//返回快照句柄
BOOL bRet = Process32First(hSnap, &Pe32);
int i = 0;
CString str;
// 循環獲取進程快照中的每一項
while ( bRet )
{
m_RunList.InsertItem(i, Pe32.szExeFile);
str.Format("%d", Pe32.th32ProcessID);
m_RunList.SetItemText(i, 1, str);
i ++;
bRet = Process32Next(hSnap, &Pe32);
}
CloseHandle(hSnap);
}
void CprocessTestDlg::InitProcessList(){
// MessageBox("test");
LONG lStyle;
lStyle = GetWindowLong(m_RunList.m_hWnd, GWL_STYLE);//獲取當前窗口style
lStyle &= ~LVS_TYPEMASK; //清除顯示方式位
lStyle |= LVS_EX_GRIDLINES; //設置style
SetWindowLong(m_RunList.m_hWnd, GWL_STYLE, lStyle);//設置style
m_RunList.InsertColumn(0, "進程名");
m_RunList.InsertColumn(1, "進程ID");
m_RunList.SetColumnWidth(0, 150);
m_RunList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER);
lStyle = GetWindowLong(m_dll_RunList.m_hWnd, GWL_STYLE);//獲取當前窗口style
lStyle &= ~LVS_TYPEMASK; //清除顯示方式位
lStyle |= LVS_EX_GRIDLINES; //設置style
SetWindowLong(m_dll_RunList.m_hWnd, GWL_STYLE, lStyle);//設置style
m_dll_RunList.InsertColumn(0, "DLL名");
m_dll_RunList.InsertColumn(1, "DLL路徑");
m_dll_RunList.SetColumnWidth(0, 150);
m_dll_RunList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER);
}
void CprocessTestDlg::OnSysCommand(UINT nID, LPARAM lParam)
{
if ((nID & 0xFFF0) == IDM_ABOUTBOX)
{
CAboutDlg dlgAbout;
dlgAbout.DoModal();
}
else
{
CDialogEx::OnSysCommand(nID, lParam);
}
}
// 如果向對話框添加最小化按鈕,則需要下面的代碼
// 來繪製該圖標。對於使用文檔/視圖模型的 MFC 應用程序,
// 這將由框架自動完成。
void CprocessTestDlg::OnPaint()
{
if (IsIconic())
{
CPaintDC dc(this); // 用於繪製的設備上下文
SendMessage(WM_ICONERASEBKGND, reinterpret_cast<WPARAM>(dc.GetSafeHdc()), 0);
// 使圖標在工作區矩形中居中
int cxIcon = GetSystemMetrics(SM_CXICON);
int cyIcon = GetSystemMetrics(SM_CYICON);
CRect rect;
GetClientRect(&rect);
int x = (rect.Width() - cxIcon + 1) / 2;
int y = (rect.Height() - cyIcon + 1) / 2;
// 繪製圖標
dc.DrawIcon(x, y, m_hIcon);
}
else
{
CDialogEx::OnPaint();
}
}
//當用戶拖動最小化窗口時系統調用此函數取得光標
//顯示。
HCURSOR CprocessTestDlg::OnQueryDragIcon()
{
return static_cast<HCURSOR>(m_hIcon);
}
//獲取DLL信息
void CprocessTestDlg::OnBnClickedButton1()
{
// TODO: 在此添加控件通知處理程序代碼
int nPid =-1;
//獲取焦點
POSITION Pos = m_RunList.GetFirstSelectedItemPosition();
int nSelect = -1;
while ( Pos )
{
nSelect = m_RunList.GetNextSelectedItem(Pos); //獲取焦點信息
}
char szPid[10] = { 0 };
m_RunList.GetItemText(nSelect, 1, szPid, 10); //獲取PID值
nPid = atoi(szPid);
MODULEENTRY32 Me32 = { 0 };
Me32.dwSize = sizeof(MODULEENTRY32);
// 創建模塊快照
DebugPrivilege();
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, nPid);
if ( hSnap == INVALID_HANDLE_VALUE )
{
AfxMessageBox("CreateToolhelp32Snapshot 錯誤");
return ;
}
//返回快照句柄
BOOL bRet = Module32First(hSnap, &Me32);
int i = 0;
CString str;
m_dll_RunList.DeleteAllItems();
// 循環獲取模塊快照中的每一項
while ( bRet )
{
m_dll_RunList.InsertItem(i, Me32.szModule);
m_dll_RunList.SetItemText(i, 1, Me32.szExePath);
i ++;
bRet = Module32Next(hSnap, &Me32);
}
CloseHandle(hSnap);
}
//DLL遠程注入
void CprocessTestDlg::OnBnClickedButton2()
{
// TODO: 在此添加控件通知處理程序代碼
RegAdd regAdd;
POSITION Pos = m_RunList.GetFirstSelectedItemPosition();
int nSelect = -1;
while ( Pos )
{
nSelect = m_RunList.GetNextSelectedItem(Pos); //獲取焦點信息
}
char szPid[10] = { 0 };
m_RunList.GetItemText(nSelect, 1, szPid, 10); //獲取PID值
regAdd.pId = atoi(szPid);
strcpy(regAdd.dllName,"C:\\Users\\XXXX\\Visual Studio 2010\\Projects\\processTest\\Debug\\DllTest.dll");
//ZeroMemory(regAdd.dllName, MAXBYTE);
//strcpy(regAdd.dllName,"test");
//regAdd.GetDlgItem(IDC_EDIT2)->SetWindowText("test");
regAdd.DoModal();
//regAdd.dllName = "test";
//regAdd.GetDlgItem(IDC_EDIT2)->SetWindowTextA("test");
}
//權限
void CprocessTestDlg::DebugPrivilege()
{
HANDLE hToken = NULL;
BOOL bRet = OpenProcessToken(GetCurrentProcess(),
TOKEN_ALL_ACCESS, &hToken);
if ( bRet == TRUE )
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;
LookupPrivilegeValue(NULL,
SE_DEBUG_NAME,
&tp.Privileges[0].Luid);
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,
FALSE, &tp, sizeof(tp),
NULL, NULL);
CloseHandle(hToken);
}
}
彈出框代碼:
// RegAdd.cpp : 實現文件
//
#include "stdafx.h"
#include "processTest.h"
#include "RegAdd.h"
// CRegAdd
IMPLEMENT_DYNAMIC(CRegAdd, CWnd)
CRegAdd::CRegAdd()
{
}
CRegAdd::~CRegAdd()
{
}
BEGIN_MESSAGE_MAP(CRegAdd, CWnd)
END_MESSAGE_MAP()
// CRegAdd 消息處理程序
// RegAdd.cpp : 實現文件
//
#include "stdafx.h"
#include "processTest.h"
#include "RegAdd.h"
#include "afxdialogex.h"
// RegAdd 對話框
IMPLEMENT_DYNAMIC(RegAdd, CDialog)
RegAdd::RegAdd(CWnd* pParent /*=NULL*/)
: CDialog(RegAdd::IDD, pParent)
{
}
RegAdd::~RegAdd()
{
}
void RegAdd::DoDataExchange(CDataExchange* pDX)
{
CDialog::DoDataExchange(pDX);
}
BEGIN_MESSAGE_MAP(RegAdd, CDialog)
ON_BN_CLICKED(IDC_BUTTON1, &RegAdd::OnBnClickedButton1)
END_MESSAGE_MAP()
// RegAdd 消息處理程序
BOOL RegAdd::OnInitDialog()
{
CDialog::OnInitDialog();
DebugPrivilege();
GetDlgItem(IDC_EDIT2)->SetWindowText(dllName);
// TODO: 在此添加額外的初始化
//CString STemp;
//STemp.Format( _T("%d"),pId );
//MessageBox(STemp);
return TRUE; // return TRUE unless you set the focus to a control
// 異常: OCX 屬性頁應返回 FALSE
}
void RegAdd::OnBnClickedButton1()
{
//GetDlgItemText(IDC_EDIT3, processName, MAXBYTE);
// 打開目標進程
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,
FALSE, pId);
if ( hProcess == NULL )
{
MessageBox("openProcess 失敗");
return ;
}
char *pFunName = "LoadLibraryA";
// 計算欲注入DLL文件完整路徑的長度
int nDllLen = lstrlen(dllName) + sizeof(char);
// 在目標進程申請一塊長度爲nDllLen大小的內存空間
PVOID pDllAddr = VirtualAllocEx(hProcess,
NULL, nDllLen,
MEM_COMMIT,
PAGE_READWRITE);
if ( pDllAddr == NULL )
{
MessageBox("error");
CloseHandle(hProcess);
return ;
}
DWORD dwWriteNum = 0;
// 將欲注入DLL文件的完整路徑寫入在目標進程中申請的空間內
WriteProcessMemory(hProcess, pDllAddr, dllName,
nDllLen, &dwWriteNum);
// 獲得LoadLibraryA()函數的地址
FARPROC pFunAddr = GetProcAddress(GetModuleHandle("kernel32.dll"),
pFunName);
// 創建遠程線程
HANDLE hThread = CreateRemoteThread(hProcess,
NULL, 0,
(LPTHREAD_START_ROUTINE)pFunAddr,
pDllAddr, 0, NULL);
WaitForSingleObject(hThread, INFINITE);
CloseHandle(hThread);
CloseHandle(hProcess);
EndDialog(0);
// TODO: 在此添加控件通知處理程序代碼
}
//權限
void RegAdd::DebugPrivilege()
{
HANDLE hToken = NULL;
BOOL bRet = OpenProcessToken(GetCurrentProcess(),
TOKEN_ALL_ACCESS, &hToken);
if ( bRet == TRUE )
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;
LookupPrivilegeValue(NULL,
SE_DEBUG_NAME,
&tp.Privileges[0].Luid);
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,
FALSE, &tp, sizeof(tp),
NULL, NULL);
CloseHandle(hToken);
}
}