浅谈DLL注入

什么是DLL？首先来简单的介绍下

DLL与一般程序没什么大差别,只是它不能独立运行,需要程序调用。DLL的代码和普通程序代码的区别仅仅是接口和启动模式不同。可以把DLL看成缺少了main入口的EXE程序。DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API。外部看来这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,这就是DLL木马的概念。因为DLL运行时是直接挂在调用它的程序的进程里的,并不会另外产生进程,所以相对于传统EXE木马来说,DLL木马的隐蔽性更强,它很难被查到。

DLL木马的实现原理是编程者在DLL中包含木马程序代码,随后在目标主机中选择特定目标进程,以某种方式强行指定该进程调用包含木马程序的DLL,或者以某种方式将DLL强行注入到目标进程的地址空间中。最终达到侵袭目标系统的目的。正是DLL自身的特点决定了以这种形式加载木马不仅可行,而且具有很好的隐藏性:一旦DLL被映射到目标进程的地址空间中,它就能够共享目标进程的资源,并能访问相应的系统资源；然后是DLL程序没有独立的进程地址空间,从而在目标主机中运行的时候很好地隐藏了自己。

下面来看看具体的注入方法，有多种方法可以实现DLL的注入。常用的方法有以下几种:

(1)使用注册表来注入DLL

整个系统的配置都是在注册表中维护的,可以通过调整它的设置来改变系统的行为特性。该方法主要依赖下面的关键字:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

下图显示了使用Registry Editor(注册表编辑器)时该关键字中的各个项目的形式。该关键字的值包含一个DLL文件名或者一组DLL文件名(用空格或逗号隔开)。由于空格用来将文件名隔开,因此必须避免使用包含空格的文件名。列出的第一个DLL文件名可以包含一个路径,但是包含路径的其它DLL均被忽略。由于这个原因,最好将DLL放入Windows的系统目录中,这样就不必设定路径。下图是把该键值设置成为单个DLL木马路径名C:\backdoordll.dll。

当重新启动计算机及Windows进行初始化时,系统将保存这个关键字的值。然后,当User32.dll库被映射到进程中时,它将接收到一个DLL_PROCESS_ATTACH通知。当这个通知被处理时,User32.dll便检索保存的这个关键字中的值,并且为字符串中指定的每个DLL调用LoadLibrary函数。当每个库被加载时,便调用与该库相关的DllMain函数,其fdwReason的值是DLL_PROCESS_ATTACH,这样,每个库就能够对自己进行初始化。由于注入的DLL在进程中早早地就进行了加载,因此在调用函数时应该格外小心。调用kernel32.dll中的函数时出现什么问题,不过调用其它DLL中的函数时就可能产生一些问题。User32.dll并不检查每个库的初始化是否取得成功。

(2)使用Windows挂钩来注入DLL。

应用程序会接收计算机中与应用程序相关的许多事件的消息。例如,在应用程序的某个窗口处于活动状态时或当输入一个按键或单击鼠标时,它都可以接收事件信息。

微软公司定义了一个能够钩住另一个进程中的窗口消息的函数SetWindowHookEx,该函数能够有效地将DLL加载到另一个进程的地址空间中。

假定DLL试图注入的应用程序称为进程B。一个称为进程A的独立程序可以调用SetWindowsHookEx函数。其原型如下:

上面列出了4个参数。第一个参数是出发钩子的事件消息的类型,例如安装了监视击键消息的WH_KEYBOARD;第二个参数标识了窗口要处理指定消息时系统应该调用的地址;第三个参数包含了该函数的DLL的虚存地址;最后一个参数是要钩住的线程。若该参数为0,则系统钩住当前Windows桌面中的所有线程。

若进程A调用了SetWindowsHookEx(WH_KEYBOARD, myFunc,myDll, 0),当进程B要接收一个键盘事件时,进程B将加载函数myFunc,并且调用由参数myDll所指定的DLL。与注入DLL的注册表方法不同,这个方法允许在另一个进程的地址空间中不再需要DLL时删除该DLL的映像,方法是调用下面的函数:

BOOL UnhookWindowsHookEx(HHOOK hhook)当一个线程调用UnhookWindowdHookEx函数时,系统将遍历它必须将DLL注入到的各个进程的内部列表,并且对DLL的自动跟踪计数进行递减。当自动跟踪计数递减为0时,DLL就自动从进程的地址空间中卸载。应该记得,就在系统调用GetMsgProc函数之前,它对DLL的自动跟踪计数进行了递增。这可以防止产生内存访问违规。如果该自动跟踪计数没有递增,那么当进程B的线程试图执行GetMsgProc函数中的代码时系统中运行的另一个线程就可以调用UnhookWindowsHookEx函数。

(3)使用特洛伊DLL来注入DLL。

注入DLL的另一种方法是取代进程将要加载的DLL。例如,如果一个进程将要加载Xyz.dll,就可以创建相同文件名的DLL。也就是说把backdoordll.dll名改成Xyz.dll。当然,必须将原来的Xyz.dll改为别的什么名字。

在修改后的Xyz.dll中,输出的全部符号必须与原始的Xyz.dll输出的符号相同。使用函数转发器,很容易做到这一点。虽然函数转发器能够非常容易地挂接某些函数,但是应该避免使用这种方法,因为它不具备版本升级能力。例如,如果取代了一个系统DLL,而Microsoft在将来增加了一些新函数,那么这DLL将不具备它们的函数转发器。引用这些新函数的应用程序将无法加载和执行。

如果只想在单个应用程序中使用这种方法,那么可以为DLL木马赋予一个独一无二的名字,并改变应用程序的.exe模块的输入节。因为输入节中只包含模块需要的DLL的名字。这种方法相当不错,但是必须要非常熟悉.exe和DLL文件的格式。

(4)使用远程线程来注入DLL。

使用远程线程注入DLL,这种方法具有更大的灵活性。

这种DLL注入方法基本上要求目标进程中的线程调用LoadLibrary函数来加载必要的DLL。由于除了自己进程中的线程外,无法方便地控制其它进程中的线程,因此这种解决方案要求在目标进程中创建一个新线程。由于是自己创建这个线程因此能够控制它执行什么代码。Windows提供的一个称为CreateRemoteThread的函数,该函数能够在另一个进程中创建线程:

CreateRemoteThread与CreateThread很相似,差别在于它增加了一个参数hProcess,该参数指明拥有新创建线程的进程。第二个参数psa指向线程的安全描述结构体的指针,一般设置为NULL,表示使用默认的安全级别。第三个参数dwStackSize表示线程堆栈大小,一般设置为0,表示使用默认的大小,一般为1M。第四个参数pfnStartAddr指明线程函数的内存地址。当然,该内存地址与远程进程是相关的。第五个参数pvParam是所建远程线程的参数。第六个参数fdwCreate是线程的创建方式如果设为CREATE_SUSPENDED,表示线程以挂起方式创建。最后一个参数是所建线程的ID。

通过以上的参数分析可知,使用该方法来注入DLL的话,本质上,必须进行的操作是执行类似下面的一行代码:

其中hProcessRemote是被插进程的句柄。backdoordll.dll是等待挂接的DLL木马。当然LoadLibraryA是用来加载backdoordll.dll。

当在远程进程中创建新线程时,该线程将立即调用LoadLibraryA(或者LoadLibraryW)函数,并将DLL的路径名的地址传递给它。这时需要考虑另外两个问题:第一个问题是如果直接将LoadLibraryA作为参数传递给CreateRemoteThread函数,此时的LoadLibraryA是调用CreateRemoteThread这个进程里的LoadLibraryA地址,而并非是远程进程中的LoadLibraryA地址,所以直接调用的话必定是失败的,有时还会出现乱码。

必须通过调用GetProcAddress函数,获取LoadLibraryA的准确内存位置。那么如何通过GetProcAddress函数来获取LoadLibraryA的准确内存位置呢?其实LoadLibraryA是在模块Kernel32.dll中的,而每个进程挂载Kernel32.dll的内存位置也是不变的,所以可以通过Kernel32.dll来获取LoadLibrary的地址。调用方式如下:

第二个问题与DLL路径名字符串有关。字符串“C:\\MyLib.DLL”是在调用进程的地址空间中。该字符串的地址已经被赋予新创建的远程线程,该线程将它传递给LoadLibraryA。但是,当LoadLibraryA取消对内存地址的引用时,DLL路径名字符串将不再存在,远程进程的线程就可能引发访问违规,向用户显示一个未处理的异常条件消息框,并且远程进程终止运行。

为了解决这个问题,必须将DLL的路径名字符串放入远程进程的地址空间中。然后,当CreateRemoteThread函数被调用时,必须将放置该字符串的地址(相对于远程进程的地址)传递给它。具体实现过程中可以调用VirtualAllocEx和WriteProcessMemory函数来完成。概括起来说就4个步骤:

(1) 使用VirtualAllocEx函数,分配远程进程的地址空间中的内存。

(2) 使用WriteProcessMemory函数,将DLL的路径名拷贝到第一个步骤中已经分配的内存中。

(3) 使用GetProcAddress函数,获取LoadLibraryA或LoadLibraryW函数的实地址(在Kernel32.dll中)。

(4) 使用CreateRemoteThread函数,在远程进程中创建一个线程,它调用正确的LoadLibrary函数,为它传递第一个步骤中分配的内存的地址。

今天要讲的就是上面这些，感兴趣的朋友加个关注留言讨论，有什么想看的话题欢迎评论，一起进步