昭姐每天一练-实现DLL注入的另一种方法

小昭

[bgcolor=#dfdfdd]DLL注入技术的用途是很广泛的，这主要体现在，1假如你要操纵的对象涉及的数据不在进程内.2你想对目标进程中的函数进行拦截(甚至API函数，嘿嘿，由此编写个拦截timeGettime的过程，变速齿轮不就出来了么？改天我试试)，比如对它所属窗口进行子类化。3你想编写一些函数用于增强或增加目标进程功能，比如可以给目标进程的某个窗口插入个消息循环增加其响应能力。（Mfc Windows程序设计称之为消息泵）。4隐藏自己的程序，很多恶意程序都是这样做的，即使你将恶意程序的进程结束掉也毫无意义了，因为它自己已经插入到很多进程中去了，唯一有效的办法只有注销windows.。4如果你是个爱搞破坏的人就更应该掌握该技术了，不但可以利用该技术实现隐藏自己的进程，还可以破坏某个目标进程。因为将破坏代码插入到目标进程进行破坏的话简直易如反掌。不信试试？[/bgcolor]
[bgcolor=#dfdfdd]*******************[/bgcolor]
[bgcolor=#dfdfdd]实现DLL注入的另一种方法[/bgcolor]


[bgcolor=#dfdfdd]将DLL注入进程技术在实现Api函数的监视程序中不可缺少的一项工作。其中最常见的就是用SetWindowsHookEx函数实现了。不过，该方法的缺点是被监视的目标进程必须有窗口，这样，SetWindowsHookEx才能将DLL注入目标进程中。而且，目标程序已经运行了，那么，在窗口创建之前的Api函数就不能被Hook了。[/bgcolor]
[bgcolor=#dfdfdd]另外一种方法用Debug方案，就可以实现在程序创建时监视所有的Api了，缺点是必须是目标进程的Debug源，在监视程序终了时，目标进程会无条件终了。最大的缺点就是无法调试注入的DLL。[/bgcolor]
[bgcolor=#dfdfdd]还有其他多种方案也可以实现DLL的注入，在《Windows核心编程》一书中就介绍了8－9种，其中有一种采用CreateProcess的方法，实现起来比较复杂，但没有上面几种方法的局限性。且可以用其他工具（VC等）调试注入的DLL。下面进行介绍。[/bgcolor]
[bgcolor=#dfdfdd]原理如下：[/bgcolor]
[bgcolor=#dfdfdd]1． 用CreateProcess（CREATE_SUSPENDED）启动目标进程。[/bgcolor]
[bgcolor=#dfdfdd]2． 找到目标进程的入口，用ImageHlp中的函数可以实现。[/bgcolor]
[bgcolor=#dfdfdd]3． 将目标进程入口的代码保存起来。[/bgcolor]
[bgcolor=#dfdfdd]4． 在目标进程的入口写入LoadLibrary（MyDll）实现Dll的注入。[/bgcolor]
[bgcolor=#dfdfdd]5． 用ResumeThread运行目标进程。[/bgcolor]
[bgcolor=#dfdfdd]6． 目标进程就运行了LoadLibrary（MyDll），实现DLL的注入。[/bgcolor]
[bgcolor=#dfdfdd]7． 目标进程运行完LoadLibrary(MyDll)后，将原来的代码写回目标进程的入口。[/bgcolor]
[bgcolor=#dfdfdd]8． 目标进程Jmp至原来的入口，继续运行程序。[/bgcolor]
[bgcolor=#dfdfdd]从原理上可以看出，DLL的注入在目标进程的开始就运行了，而且不是用Debug的方案，这样，就没有上面方案的局限性了。该方案的关键在6，7，8三步，实现方法需要监视进程和DLL合作。下面，结合代码进行分析。[/bgcolor]
[bgcolor=#dfdfdd]在监视进程中，创建FileMapping，用来保存目标进程的入口代码，同时保证DLL中可以访问。在第7步实现将原目标代码写回目标进程的入口。[/bgcolor]
[bgcolor=#dfdfdd]／／ 监视程序和DLL共用的结构体[/bgcolor]
[bgcolor=#dfdfdd]#pragma pack (push ,1) ／／ 保证下面的结构体采用BYTE对齐（必须）[/bgcolor]
[bgcolor=#dfdfdd]typedef struct [/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]BYTE int_PUSHAD; // pushad 0x60 [/bgcolor]
[bgcolor=#dfdfdd]BYTE int_PUSH; // push &szDLL 0x68[/bgcolor]
[bgcolor=#dfdfdd]DWORD push_Value; // &szDLL = "ApiSpy.dll"的path[/bgcolor]
[bgcolor=#dfdfdd]BYTE int_MOVEAX; // move eax &LoadLibrary 0xB8[/bgcolor]
[bgcolor=#dfdfdd]DWORD eax_Value; // &LoadLibrary[/bgcolor]
[bgcolor=#dfdfdd]WORD call_eax; // call eax 0xD0FF(FF D0) (LoadLibrary("ApiSpy.dll");[/bgcolor]
[bgcolor=#dfdfdd]BYTE jmp_MOVEAX; // move eax &ReplaceOldCode 0xB8 [/bgcolor]
[bgcolor=#dfdfdd]DWORD jmp_Value; // JMP的参数[/bgcolor]
[bgcolor=#dfdfdd]WORD jmp_eax; // jmp eax 0xE0FF(FF E0) jmp ReplaceOldCode;[/bgcolor]
[bgcolor=#dfdfdd]char szDLL[MAX_PATH]; // "ApiSpy.dll"的FullPath[/bgcolor]
[bgcolor=#dfdfdd]}INJECT_LOADLIBRARY_CODE, *LPINJECT_CODE;[/bgcolor]
[bgcolor=#dfdfdd]#pragma pack (pop , 1)[/bgcolor]
[bgcolor=#dfdfdd]上面结构体的代码为汇编代码，对应的汇编为：[/bgcolor]
[bgcolor=#dfdfdd]pushad[/bgcolor]
[bgcolor=#dfdfdd]push szDll[/bgcolor]
[bgcolor=#dfdfdd]mov eax, &LoadLibraryA[/bgcolor]
[bgcolor=#dfdfdd]call eax // 实现调用LoadLibrary(szDll)的代码[/bgcolor]
[bgcolor=#dfdfdd]mov eax, oldentry[/bgcolor]
[bgcolor=#dfdfdd]jmp eax // 实现在LoadLibrary运行完后, 跳至目标进程的入口继续运行[/bgcolor]
[bgcolor=#dfdfdd]// FileMaping的结构体[/bgcolor]
[bgcolor=#dfdfdd]typedef struct [/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]LPBYTE lpEntryPoint; // 目标进程的入口地址[/bgcolor]
[bgcolor=#dfdfdd]BYTE oldcode[sizeof(INJECT_CODE)]; // 目标进程的代码保存[/bgcolor]
[bgcolor=#dfdfdd]}SPY_MEM_SHARE, * LPSPY_MEM_SHARE;[/bgcolor]
[bgcolor=#dfdfdd]准备工作：[/bgcolor]
[bgcolor=#dfdfdd]第一步：用CreateProcess（CREATE_SUSPENDED）启动目标进程。[/bgcolor]
[bgcolor=#dfdfdd]CreateProcessA(0, szRunFile, 0, 0, FALSE, CREATE_SUSPENDED[/bgcolor]
[bgcolor=#dfdfdd]0, NULL, &stInfo,[/bgcolor]
[bgcolor=#dfdfdd]&m_proInfo) ;[/bgcolor]
[bgcolor=#dfdfdd]// 用CreateProcess启动一个暂停的目标进程[/bgcolor]
[bgcolor=#dfdfdd]// 找到目标进程的入口点，函数如下[/bgcolor]
[bgcolor=#dfdfdd]第二步：找到目标进程的入口，用ImageHlp中的函数可以实现。[/bgcolor]
[bgcolor=#dfdfdd]pEntryPoint = GetExeEntryPoint(szRunFile);[/bgcolor]
[bgcolor=#dfdfdd]LPBYTE GetExeEntryPoint(char *filename)[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]PIMAGE_NT_HEADERS pNTHeader;[/bgcolor]
[bgcolor=#dfdfdd]DWORD pEntryPoint;[/bgcolor]
[bgcolor=#dfdfdd]PLOADED_IMAGE pImage;[/bgcolor]
[bgcolor=#dfdfdd]pImage = ImageLoad(filename, NULL);[/bgcolor]
[bgcolor=#dfdfdd]if(pImage == NULL)[/bgcolor]
[bgcolor=#dfdfdd]return NULL;[/bgcolor]
[bgcolor=#dfdfdd]pNTHeader = pImage->FileHeader;[/bgcolor]
[bgcolor=#dfdfdd]pEntryPoint = pNTHeader->OptionalHeader.AddressOfEntryPoint + pNTHeader->OptionalHeader.ImageBase;[/bgcolor]
[bgcolor=#dfdfdd]ImageUnload(pImage);[/bgcolor]
[bgcolor=#dfdfdd]return (LPBYTE)pEntryPoint;[/bgcolor]
[bgcolor=#dfdfdd]}[/bgcolor]
[bgcolor=#dfdfdd]// 创建FileMapping[/bgcolor]
[bgcolor=#dfdfdd]hMap = CreateFileMapping((HANDLE)0xFFFFFFFF, NULL,[/bgcolor]
[bgcolor=#dfdfdd]PAGE_READWRITE, 0, sizeof(SPY_MEM_SHARE), “MyDllMapView”);[/bgcolor]
[bgcolor=#dfdfdd]// 保存目标进程的代码[/bgcolor]
[bgcolor=#dfdfdd]第三步：将目标进程入口的代码保存起来。[/bgcolor]
[bgcolor=#dfdfdd]LPSPY_MEM_SHARE lpMap = pMapViewOfFile(hMap, [/bgcolor]
[bgcolor=#dfdfdd]FILE_MAP_ALL_ACCESS,[/bgcolor]
[bgcolor=#dfdfdd]0, 0, 0);[/bgcolor]
[bgcolor=#dfdfdd]ReadProcessMemory(m_proInfo.hProcess, pEntryPoint,[/bgcolor]
[bgcolor=#dfdfdd]&lpMap->oldcode, sizeof(INJECT_CODE),[/bgcolor]
[bgcolor=#dfdfdd]&cBytesMoved);[/bgcolor]
[bgcolor=#dfdfdd]lpMap->lpEntryPoint = pEntryPoint;[/bgcolor]
[bgcolor=#dfdfdd]// 第四步：在目标进程的入口写入LoadLibrary（MyDll）实现Dll的注入。[/bgcolor]
[bgcolor=#dfdfdd]// 准备注入DLL的代码[/bgcolor]
[bgcolor=#dfdfdd]INJECT_CODE newCode;[/bgcolor]
[bgcolor=#dfdfdd]// 写入MyDll―――用全路径[/bgcolor]
[bgcolor=#dfdfdd]lstrcpy(newCode.szDLL, szMyDll);[/bgcolor]
[bgcolor=#dfdfdd]// 准备硬代码（汇编代码）[/bgcolor]
[bgcolor=#dfdfdd]newCode.int_PUSHAD = 0x60; [/bgcolor]
[bgcolor=#dfdfdd]newCode.int_PUSH = 0x68;[/bgcolor]
[bgcolor=#dfdfdd]newCode.int_MOVEAX = 0xB8;[/bgcolor]
[bgcolor=#dfdfdd]newCode.call_eax = 0xD0FF;[/bgcolor]
[bgcolor=#dfdfdd]newCode.jmp_MOVEAX = 0xB8;[/bgcolor]
[bgcolor=#dfdfdd]newCode.jmp_eax = 0xE0FF;[/bgcolor]
[bgcolor=#dfdfdd]newCode.eax_Value = (DWORD)＆LoadLibrary;[/bgcolor]
[bgcolor=#dfdfdd]newCode.push_Value=(pEntryPoint + offsetof(INJECT_CODE,szDLL));[/bgcolor]
[bgcolor=#dfdfdd]// 将硬代码写入目标进程的入口[/bgcolor]
[bgcolor=#dfdfdd]// 修改内存属性[/bgcolor]
[bgcolor=#dfdfdd]DWORD dwNewFlg, dwOldFlg;[/bgcolor]
[bgcolor=#dfdfdd]dwNewFlg = PAGE_READWRITE;[/bgcolor]
[bgcolor=#dfdfdd]VirtualProtectEx(m_proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwNewFlg, &dwOldFlg);[/bgcolor]
[bgcolor=#dfdfdd]WriteProcessMemory(m_proInfo.hProcess, pEntryPoint,[/bgcolor]
[bgcolor=#dfdfdd]&newCode, sizeof(newCode), NULL);//&dwWrited);[/bgcolor]
[bgcolor=#dfdfdd]VirtualProtectEx(proInfo.hProcess, (LPVOID)pEntryPoint, sizeof(DWORD), dwOldFlg, &dwNewFlg);[/bgcolor]
[bgcolor=#dfdfdd]// 释放FileMaping 注意，不是Closehandle(hMap)[/bgcolor]
[bgcolor=#dfdfdd]UnmapViewOfFile(lpMap);[/bgcolor]
[bgcolor=#dfdfdd]// 继续目标进程的运行[/bgcolor]
[bgcolor=#dfdfdd]第五步：用ResumeThread运行目标进程。[/bgcolor]
[bgcolor=#dfdfdd]ResumeThread(m_proInfo.hThread);[/bgcolor]
[bgcolor=#dfdfdd]在监视进程中就结束了自己的任务，剩下的第6，7，8步就需要在Dll的DllMain中进行配合。[/bgcolor]
[bgcolor=#dfdfdd]DLL中用来保存数据的结构体[/bgcolor]
[bgcolor=#dfdfdd]typedef struct[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]DWORD lpEntryPoint;[/bgcolor]
[bgcolor=#dfdfdd]DWORD OldAddr;[/bgcolor]
[bgcolor=#dfdfdd]DWORD OldCode[4];[/bgcolor]
[bgcolor=#dfdfdd]}JMP_CODE,* LPJMP_CODE;[/bgcolor]
[bgcolor=#dfdfdd]static JMP_CODE _lpCode;[/bgcolor]

[bgcolor=#dfdfdd]// 在DllMain的DLL_PROCESS_ATTACH中调用InitApiSpy函数[/bgcolor]
[bgcolor=#dfdfdd]// 在该函数中实现第6，7，8步[/bgcolor]
[bgcolor=#dfdfdd]第六步：目标进程就运行了LoadLibrary（MyDll），实现DLL的注入。[/bgcolor]
[bgcolor=#dfdfdd]int WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID lpReserved)[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]switch(dwReason)[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]case DLL_PROCESS_ATTACH:[/bgcolor]
[bgcolor=#dfdfdd]return InitApiSpy();[/bgcolor]
[bgcolor=#dfdfdd]……[/bgcolor]
[bgcolor=#dfdfdd]// InitApiSpy函数的实现[/bgcolor]
[bgcolor=#dfdfdd]BOOL WINAPI InitApiSpy()[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]HANDLE hMap;[/bgcolor]
[bgcolor=#dfdfdd]LPSPY_MEM_SHARE lpMem;[/bgcolor]
[bgcolor=#dfdfdd]DWORD dwSize;[/bgcolor]
[bgcolor=#dfdfdd]BOOL rc;[/bgcolor]
[bgcolor=#dfdfdd]BYTE* lpByte;[/bgcolor]
[bgcolor=#dfdfdd]// 取得FileMapping的句柄[/bgcolor]
[bgcolor=#dfdfdd]hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, 0, “MyDllMapView”);[/bgcolor]
[bgcolor=#dfdfdd]if(hMap)[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]lpMem = (LPSPY_MEM_SHARE)MapViewOfFile(hMap,[/bgcolor]
[bgcolor=#dfdfdd]FILE_MAP_ALL_ACCESS,[/bgcolor]
[bgcolor=#dfdfdd]0, 0, 0);[/bgcolor]
[bgcolor=#dfdfdd]if(lpMem)[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]第七步：目标进程运行完LoadLibrary(MyDll)后，将原来的代码写回目标进程的入口。[/bgcolor]
[bgcolor=#dfdfdd]// 恢复目标进程的入口代码[/bgcolor]
[bgcolor=#dfdfdd]// 得到mov eax, value代码的地址[/bgcolor]
[bgcolor=#dfdfdd]_lpCode.OldAddr = (DWORD)((BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX));[/bgcolor]
[bgcolor=#dfdfdd]_lpCode.lpEntryPoint = (DWORD)lpMem->lpEntryPoint;[/bgcolor]
[bgcolor=#dfdfdd]// 保存LoadLibrary()后面的代码[/bgcolor]
[bgcolor=#dfdfdd]memcpy(&_lpCode.OldCode, (BYTE*)lpMem->oldcode + offsetof(INJECT_CODE, jmp_MOVEAX), 2*sizeof(DWORD));[/bgcolor]
[bgcolor=#dfdfdd]// 恢复目标进程的入口代码[/bgcolor]
[bgcolor=#dfdfdd]rc = WriteProcessMemory(GetCurrentProcess(), lpMem->lpEntryPoint, lpMem->oldcode, sizeof(INJECT_CODE), &dwSize);[/bgcolor]
[bgcolor=#dfdfdd]lpByte = (BYTE*)lpMem->lpEntryPoint + offsetof(INJECT_CODE, jmp_MOVEAX);[/bgcolor]
[bgcolor=#dfdfdd]UnmapViewOfFile(lpMem);[/bgcolor]
[bgcolor=#dfdfdd]}[/bgcolor]
[bgcolor=#dfdfdd]CloseHandle(hMap);[/bgcolor]
[bgcolor=#dfdfdd]}[/bgcolor]
[bgcolor=#dfdfdd]// 实现自己Dll的其他功能，如导入表的替换[/bgcolor]
[bgcolor=#dfdfdd]// ……[/bgcolor]
[bgcolor=#dfdfdd]// 将LoadLibrary后面的代码写为转入处理程序中[/bgcolor]
[bgcolor=#dfdfdd]// 指令为：mov eax, objAddress[/bgcolor]
[bgcolor=#dfdfdd]// jmp eax[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]BYTE* lpMovEax;[/bgcolor]
[bgcolor=#dfdfdd]DWORD* lpMovEaxValu;[/bgcolor]
[bgcolor=#dfdfdd]WORD* lpJmp;[/bgcolor]
[bgcolor=#dfdfdd]DWORD fNew, fOld;[/bgcolor]
[bgcolor=#dfdfdd]fNew = PAGE_READWRITE;[/bgcolor]
[bgcolor=#dfdfdd]lpMovEax = lpByte;[/bgcolor]
[bgcolor=#dfdfdd]VirtualProtect(lpMovEax, 2*sizeof(DWORD), fNew, &fOld);[/bgcolor]
[bgcolor=#dfdfdd]*lpMovEax = 0xB8;[/bgcolor]
[bgcolor=#dfdfdd]lpMovEaxValu = (DWORD*)(lpMovEax + 1);[/bgcolor]
[bgcolor=#dfdfdd]*lpMovEaxValu = (DWORD)&DoJmpEntryPoint;[/bgcolor]
[bgcolor=#dfdfdd]lpJmp = (WORD*)(lpMovEax + 5);[/bgcolor]
[bgcolor=#dfdfdd]*lpJmp = 0xE0FF; // (FF E0)[/bgcolor]
[bgcolor=#dfdfdd]VirtualProtect(lpMovEax, 2*sizeof(DWORD), fOld, &fNew);[/bgcolor]
[bgcolor=#dfdfdd]}[/bgcolor]
[bgcolor=#dfdfdd]return TRUE;[/bgcolor]
[bgcolor=#dfdfdd]}[/bgcolor]
[bgcolor=#dfdfdd]// 转入处理程序[/bgcolor]
[bgcolor=#dfdfdd]DWORD* lpMovEax;[/bgcolor]
[bgcolor=#dfdfdd]DWORD fNew, fOld;[/bgcolor]
[bgcolor=#dfdfdd]void __declspec(naked) DoJmpEntryPoint ()[/bgcolor]
[bgcolor=#dfdfdd]{[/bgcolor]
[bgcolor=#dfdfdd]// 恢复LoadLibrary后面的代码[/bgcolor]
[bgcolor=#dfdfdd]_gfNew = PAGE_READWRITE;[/bgcolor]
[bgcolor=#dfdfdd]_glpMovEax = (DWORD*)_lpCode.OldAddr;[/bgcolor]
[bgcolor=#dfdfdd]VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfNew, &_gfOld);[/bgcolor]
[bgcolor=#dfdfdd]*_glpMovEax = _lpCode.OldCode[0];[/bgcolor]
[bgcolor=#dfdfdd]*(_glpMovEax + 1) = _lpCode.OldCode[1];[/bgcolor]
[bgcolor=#dfdfdd]VirtualProtect(_glpMovEax, 2*sizeof(DWORD), _gfOld, &_gfNew);[/bgcolor]
[bgcolor=#dfdfdd]第八步：目标进程Jmp至原来的入口，继续运行程序。[/bgcolor]
[bgcolor=#dfdfdd]// 跳至目标代码的入口[/bgcolor]
[bgcolor=#dfdfdd]_asm popad[/bgcolor]
[bgcolor=#dfdfdd]_asm jmp _lpCode.lpEntryPoint[/bgcolor]
[bgcolor=#dfdfdd]}[/bgcolor]
[bgcolor=#dfdfdd]这样就实现了原来的目标，将DLL的注入放在目标进程的入口运行，实现了目标进程运行之前运行我们的注入Dll的功能。[/bgcolor]
[bgcolor=#dfdfdd]下面用图形表示在目标进程中代码发生变化的情况。(示意图)[/bgcolor]
[bgcolor=#dfdfdd]监视程序 FileMapping 目标进程 [/bgcolor]
[bgcolor=#dfdfdd]第一步 启动目标进程 无 无 [/bgcolor]
[bgcolor=#dfdfdd]第二步 找到入口 无 启动(暂停中) [/bgcolor]
[bgcolor=#dfdfdd]第三步 保存代码 目标进程的代码 无变化 [/bgcolor]
[bgcolor=#dfdfdd]第四步 写入注入代码 同上 入口代码为：LoadLibrary(MyDll); jmp xxxxxxxx 其他原来的代码 [/bgcolor]
[bgcolor=#dfdfdd]第五步 运行目标进程 同上 运行LoadLibrary [/bgcolor]
[bgcolor=#dfdfdd]第六步 无变化 无变化 LoadLibrary中处理 [/bgcolor]
[bgcolor=#dfdfdd]第七步 无变化 无变化 入口代码被写为原来的代码 [/bgcolor]
[bgcolor=#dfdfdd]第7.5步 无变化 无变化 上面jmp xxxxxxxx的代码写为jmp DoJmpEntryPoint [/bgcolor]
[bgcolor=#dfdfdd]第7.9步 无变化 无变化 运行完LoadLibrary后，转入DoJmpEntryPoint函数中处理,在该函数中，将jmp DoJmpEntryPoint的指令恢复为原指令。 [/bgcolor]
[bgcolor=#dfdfdd]第八步 无变化 无变化 转入目标进程的入口执行，完成注入目标。[/bgcolor]

c_kongfei

好好学习下不错啊