DLL的遠程注入技術是目前Win32病毒廣泛使用的一種技術。使用這種技術的病毒體通常位於一個DLL中,在系統啓動的時候,一個EXE程序會將這個DLL加載至某些系統進程(如Explorer.exe)中運行。這樣一來,普通的進程管理器就很難發現這種病毒了,而且即使發現了也很難清除,因爲只要病毒寄生的進程不終止運行,那麼這個DLL就不會在內存中卸載,用戶也就無法在資源管理器中刪除這個DLL文件,真可謂一箭雙鵰哉。
記得2003年QQ尾巴病毒肆虐的時候,就已經有些尾巴病毒的變種在使用這種技術了。到了2004年初,我曾經嘗試着仿真了一個QQ尾巴病毒,但獨是跳過了DLL的遠程加載技術。直到最近在學校論壇上看到了幾位朋友在探討這一技術,便忍不住將這一塵封已久的技術從我的記憶中揀了出來,以滿足廣大的技術愛好者們。
必備知識
在閱讀本文之前,你需要了解以下幾個API函數:
·OpenProcess - 用於打開要寄生的目標進程。
·VirtualAllocEx/VirtualFreeEx -用於在目標進程中分配/釋放內存空間。
·WriteProcessMemory - 用於在目標進程中寫入要加載的DLL名稱。
·CreateRemoteThread - 遠程加載DLL的核心內容,用於控制目標進程調用API函數。
·LoadLibrary - 目標進程通過調用此函數來加載病毒DLL。
在此我只給出了簡要的函數說明,關於函數的詳細功能和介紹請參閱MSDN。
示例程序
我將在以下的篇幅中用一個簡單的示例Virus.exe來實現這一技術。
首先運行Target.exe,這個文件是一個用Win32 Application嚮導生成的“Hello,World”程序,用來作爲寄生的目標進程。
然後在界面的編輯控件中輸入進程的名稱“Target.exe”,單擊“注入DLL”按鈕,這時候Virus.exe就會將當前目錄下的DLL.dll注入至Target.exe進程中。
在注入DLL.dll之後,你也可以單擊“卸載DLL”來將已經注入的DLL卸載。
模擬的病毒體DLL.dll
這是一個簡單的Win32 DLL程序,它僅由一個入口函數DllMain組成:
| BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved ) { switch ( fdwReason ) { case DLL_PROCESS_ATTACH: { MessageBox( NULL, _T("DLL已進入目標進程。"), _T("信息"),MB_ICONINFORMATION ); } break; case DLL_PROCESS_DETACH: { MessageBox( NULL, _T("DLL已從目標進程卸載。"), _T("信息"),MB_ICONINFORMATION ); } break; } return TRUE; } |
如你所見,這裏我在DLL被加載和卸載的時候調用了MessageBox,這是用來顯示我的遠程注入/卸載工作是否成功完成。而對於一個真正的病毒體來說,它往往就是處理DLL_PROCESS_ATTACH事件,在其中加入了啓動病毒代碼的部分:
| case DLL_PROCESS_ATTACH: { StartVirus(); } break; |
注入!
現在要開始我們的注入工作了。首先,我們需要找到目標進程:
| DWORD FindTarget( LPCTSTRlpszProcess ) { DWORD dwRet = 0; HANDLE hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0); PROCESSENTRY32 pe32; pe32.dwSize = sizeof( PROCESSENTRY32); Process32First( hSnapshot,&pe32 ); do { if ( lstrcmpi( pe32.szExeFile,lpszProcess ) == 0 ) { dwRet = pe32.th32ProcessID; break; } } while ( Process32Next( hSnapshot, &pe32 )); CloseHandle( hSnapshot ); return dwRet; } |
這裏我使用了ToolHelp函數庫,當然如果你是NT系統的話,也可以選擇PSAPI函數庫。這段代碼的目的就是通過給定的進程名稱來在當前系統中查找相應的進程,並返回該進程的ID。得到進程ID後,就可以調用OpenProcess來打開目標進程了:
| // 打開目標進程 HANDLE hProcess = OpenProcess( PROCESS_CREATE_THREAD |PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE, dwProcessID ); |
現在有必要說一下OpenProcess第一個參數所指定的三種權限。在Win32系統下,每個進程都擁有自己的4G虛擬地址空間,各個進程之間都相互獨立。如果一個進程需要完成跨進程的工作的話,那麼它必須擁有目標進程的相應操作權限。在這裏,PROCESS_CREATE_THREAD表示我可以通過返回的進程句柄在該進程中創建新的線程,也就是調用CreateRemoteThread的權限;同理,PROCESS_VM_OPERATION則表示在該進程中分配/釋放內存的權限,也就是調用VirtualAllocEx/VirtualFreeEx的權限;PROCESS_VM_WRITE表示可以向該進程的地址空間寫入數據,也就是調用WriteProcessMemory的權限。
至此目標進程已經打開,那麼我們該如何來將DLL注入其中呢?在這之前,我請你看一行代碼,是如何在本進程內顯式加載DLL的:
| HMODULE hDll = LoadLibrary( "DLL.dll" ); |
那麼,如果能控制目標進程調用LoadLibrary,不就可以完成DLL的遠程注入了麼?的確是這樣,我們可以通過CreateRemoteThread將LoadLibrary作爲目標進程的一個線程來啓動,這樣就可以完成“控制目標進程調用LoadLibrary”的工作了。到這裏,也許你會想當然地寫下類似這樣的代碼:
| DWORD dwID; LPVOID pFunc = LoadLibraryA; HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0,(LPTHREAD_START_ROUTINE)pFunc,(LPVOID)"DLL.dll", 0, &dwID ); |
不過結果肯定會讓你大失所望——注入DLL失敗!
那麼現在讓我們來分析一下失敗的原因吧。我是前說過,在Win32系統下,每個進程都擁有自己的4G虛擬地址空間,各個進程之間都是相互獨立的。在這裏,我們當作參數傳入的字符串"DLL.dll"其實是一個數值,它表示這個字符串位於Virus.exe地址空間之中的地址,而這個地址在傳給Target.exe之後,它指向的東西就失去了有效性。舉個例子來說,譬如A、B兩棟大樓,我住在A樓的401;那麼B樓的401住的是誰我當然不能確定——也就是401這個門牌號在B樓失去了有效性,而且如果我想要入住B樓的話,我就必須請B樓的樓長爲我在B樓中安排新的住處(當然這個新的住處是否401也就不一定了)。
由此看來,我就需要做這麼一系列略顯繁雜的手續——首先在Target.exe目標進程中分配一段內存空間,然後向這段空間寫入我要加載的DLL名稱,最後再調用CreateRemoteThread。這段代碼就成了這樣:
| // 向目標進程地址空間寫入DLL名稱 DWORD dwSize, dwWritten; dwSize = lstrlenA( lpszDll ) + 1; LPVOID lpBuf = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE ); if ( NULL == lpBuf ) { CloseHandle( hProcess ); // 失敗處理 } if ( WriteProcessMemory( hProcess, lpBuf, (LPVOID)lpszDll, dwSize,&dwWritten ) ) { // 要寫入字節數與實際寫入字節數不相等,仍屬失敗 if ( dwWritten != dwSize ) { VirtualFreeEx( hProcess, lpBuf,dwSize, MEM_DECOMMIT ); CloseHandle( hProcess ); // 失敗處理 } } else { CloseHandle( hProcess ); // 失敗處理 } // 使目標進程調用LoadLibrary,加載DLL DWORD dwID; LPVOID pFunc = LoadLibraryA; HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0,(LPTHREAD_START_ROUTINE)pFunc, lpBuf,0, &dwID ); |
需要說的有兩點,一是由於我要在目標進程中爲ANSI字符串來分配內存空間,所以這裏凡是和目標進程相關的部分,都明確使用了後綴爲“A”的API函數——當然,如果要使用Unicode字符串的話,可以換作後綴是“W”的API;第二,在這裏LoadLibrary的指針我是取的本進程的LoadLibraryA的地址,這是因爲LoadLibraryA/LoadLibraryW位於kernel32.dll之中,而Win32下每個應用程序都會把kernel32.dll加載到進程地址空間中一個固定的地址,所以這裏的函數地址在Target.exe中也是有效的。
在調用LoadLibrary完畢之後,我們就可以做收尾工作了:
| // 等待LoadLibrary加載完畢 WaitForSingleObject( hThread, INFINITE); // 釋放目標進程中申請的空間 VirtualFreeEx( hProcess, lpBuf, dwSize,MEM_DECOMMIT ); CloseHandle( hThread ); CloseHandle( hProcess ); |
在此解釋一下WaitForSingleObject一句。由於我們是通過CreateRemoteThread在目標進程中另外開闢了一個LoadLibrary的線程,所以我們必須等待這個線程運行完畢才能夠釋放那段先前申請的內存。
好了,現在你可以嘗試着整理這些代碼並編譯運行。運行Target.exe,然後開啓一個有模塊查看功能的進程查看工具(在這裏我使用我的July)來查看Target.exe的模塊,你會發現在注入DLL之前,Target.exe中並沒有DLL.dll的存在。
在調用了注入代碼之後,DLL.dll就位於Target.exe的模塊列表之中了。
矛盾相生
記得2004年初我將QQ尾巴病毒成功仿真後,有很多網友詢問我如何才能殺毒,不過我都沒有回答——因爲當時我研究的重點並非病毒的寄生特性。這一寄生特性直到今天可以說我才仿真完畢,那麼,我就將解毒的方法也一併公開吧。
和DLL的注入過程類似,只不過在這裏使用了兩個API:GetModuleHandle和FreeLibrary。出於篇幅考慮,我略去了與注入部分相似或相同的代碼:
| // 使目標進程調用GetModuleHandle,獲得DLL在目標進程中的句柄 DWORD dwHandle, dwID; LPVOID pFunc = GetModuleHandleA; HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0,(LPTHREAD_START_ROUTINE)pFunc, lpBuf,0, &dwID ); // 等待GetModuleHandle運行完畢 WaitForSingleObject( hThread, INFINITE); // 獲得GetModuleHandle的返回值 GetExitCodeThread( hThread, &dwHandle ); // 釋放目標進程中申請的空間 VirtualFreeEx( hProcess, lpBuf, dwSize,MEM_DECOMMIT ); CloseHandle( hThread ); // 使目標進程調用FreeLibrary,卸載DLL pFunc = FreeLibrary; hThread = CreateRemoteThread( hProcess, NULL, 0,(LPTHREAD_START_ROUTINE)pFunc,(LPVOID)dwHandle, 0, &dwID ); // 等待FreeLibrary卸載完畢 WaitForSingleObject( hThread, INFINITE); CloseHandle( hThread ); CloseHandle( hProcess ); |
用這個方法可以卸載一個進程中的DLL模塊,當然包括那些非病毒體的DLL。所以,這段代碼還是謹慎使用爲好。
在完成卸載之後,如果沒有別的程序加載這個DLL,你就可以將它刪除了。