Posted on 2010-01-28 22:01
S.l.e!ep.¢% 閱讀(1808)
評論(2) 編輯 收藏 引用 所屬分類:
RootKit
Inject DLL是做全局鉤子或者攔截類軟件都有可能用到的技術,如果做G***的話我們也有可能需要注入一個DLL到游戲進程中去干點什么“壞事”。 但我們知道現在要Inject DLL是越來越難了�。場景1:制作火星文輸入法G***���,原理是利用API HOOK攔截并修改輸入法相關函數����,需要注入一個DLL到所有進程中���,但是后來發現���,在開啟了瑞星的帳號保險箱后����,用戶將不能在QQ中輸入火星文。原因是瑞星保護了QQ進程����,禁止對其Inject DLL����,解決方法是提示用戶關閉帳號保險箱 -_-|? 確實是很降低用戶體驗的一個不是辦法的辦法�。場景2:制作某游戲G***,需要注入一個DLL到游戲進程中去直接調用游戲函數完成某一功能。結果發現該游戲有NP保護�,OpenProcess打不開����,創建遠程線程也不行���,試用其它方法也一一失敗�。遇到上面的情況�,高手們自然是轉到Ring0下面去,使用驅動之類的辦法來對付啦,不過吾等菜鳥可就是酒井沒法子了 -_-|
??? 不過也別太灰心,凡事總會有辦法的���。我想我們需要一種持久的、穩定的、不容易被安全軟件屏蔽的DLL注入方法���,后來發現,輸入法程序就是能完成這一任務的理想人選。輸入法程序程序到底是什么?它沒有自己的進程���,并且在系統還沒有登錄時就已被加載(在歡迎界面你也可以調出輸入法),它可以在游戲中打開,也可以在控制臺程序中打開���,還可以在瑞星保護下的QQ中打開,在殺軟中也可以打開,這不就是我們要找的特性嗎�。那么�,輸入法到底是什么呢���?根據Windows的規定���,輸入法其實就是一個DLL�,不過它是一個特殊的DLL,它必須具有標準輸入法程序所規定的那些接口���,輸入法是由輸入法管理器(imm32.dll)控制的�,輸入法管理器又是由user32.dll控制的���。輸入法在系統目錄是以IME為擴展名的文件�,當在應用程序中激活某個輸入法時,輸入法管理器就會在那個應用程序的進程中加載對應的IME文件,注意����,加載IME文件跟加載普通的DLL并沒有本質區別����,所以����,可以認為����,輸入法其實就是注入到應用程序中的一個DLL文件,并且,這種“注入”是不會被殺軟和游戲NP攔截的(至少目前是)。現在����,我們已經有了一個Inject DLL的另類方法����,那就是利用輸入法����。具體流程是這樣,首先制作一個標準輸入法文件���,但是這個輸入法并不完成文字輸入工作,它的唯一任務就是用來Inject DLL�,所以稱為“服務輸入法”����,然后���,制作一個控制程序�,來控制服務輸入法,當然最后還需要一個用于注入的目標DLL�,這樣一共就有3個文件����。開始工作后�,控制程序首先將服務輸入法安裝到系統中,然后傳遞幾個參數給服務輸入法,參數中包括了需要注入的DLL文件的名稱和路徑�,然后,控制程序將服務輸入法設置為系統的默認輸入法����,這樣新的程序一打開���,服務輸入法就會注入那個程序�。當然����,在服務輸入法安裝之前打開的程序不會被注入,這時需要向系統中的所有窗口POST一條WM_INPUTLANGCHANGEREQUEST消息�,該消息可以在指定窗口中后臺激活服務輸入法����,這樣����,系統中所有擁有窗口的進程就都被我們的服務輸入法注入了。服務輸入法注入程序之后����,就會根據控制程序傳遞過來的參數加載目標DLL���,這樣目標DLL也就隨著服務輸入法一同注入到目標程序中了���。注意服務輸入法是控制程序用WM_INPUTLANGCHANGEREQUEST消息在所有窗口中自動激活的�,如果某個窗口自動激活失敗,你就需要在那個窗口中手工切換到服務輸入法�,這樣才能注入進去了�。至于注入以后�,你就可以在窗口中切換到別的輸入法,這并不會影響已經注入進去的DLL����。我將這一套功能制作成一個完整的示例,你可以在在網上下載? 壓縮包中的第6個和第8個文件夾演示了此功能并包含所有源代碼���。其中文件imedllhost09.dll就是服務輸入法,運行時會被安裝到系統中���,控制程序退出時會自動卸載該輸入法,這樣用戶就不太容易察覺�,你還可以重新編譯該輸入法�,將名稱改為“中文(中國)”�,這樣隱蔽性更好。文件hxwdllwx.dll是演示用的目標DLL���,你可以替換成自己的DLL,然后那個exe文件就是控制程序了�。輸入法imedllhost09.dll在運行時會被復制到系統目錄并更名為imedllhost09.ime�,它導出了2個函數用于控制���。在VB中的聲明為:
Public Declare Function IMESetPubString Lib "imedllhost09.ime" (ByVal RunDLLStr As String, ByVal UnloadDll As Long, ByVal loadNextIme As Long, ByVal DllData1 As Long, ByVal DllData2 As Long, ByVal DllData3 As Long) As Long
Public Declare Function IMEClearPubString Lib "imedllhost09.ime" () As Long
其中IMESetPubString用于向輸入法傳遞要注入的DLL等參數���。RunDLLStr����,要注入的DLL命令和完整路徑。UnloadDll,當輸入法退出時,是否同時卸載目標DLL 0-是����,1-否�。loadNextIme�,當切換至該服務輸入法時,是否直接切換到下一個輸入法(這樣服務輸入法就好像被跳過了�,可最小限度影響用戶的輸入法順序) 0-否�,1-是����。DllData1,DllData2����,DllData3是傳遞給目標DLL的回調函數(函數名稱必須為RunDllHostCallBack)的參數,你可以在目標DLL中導出一個函數,名稱為RunDllHostCallBack,這樣當輸入法注入時會調用目標DLL的該回調函數并向其傳遞這3個參數����。函數原型為(VC):
DWORD RunDllHostCallBack(DWORD calldata1, DWORD calldata2,DWORD calldata3);
IMEClearPubString函數用于清除輸入法的配置�,清除后����,輸入法將停止在新的程序中注入目標DLL,但已注入的DLL不會卸載�。
好了���,利用輸入法來Inject DLL基本上就是這樣了����,詳細的用法大家可以看壓縮包中的第8個文件夾����,其中服務輸入法是VC寫的,控制程序是VB的����,代碼都是有注釋的����。測試發現該方法能過目前所有殺軟���,也能注入冰刃����。當然缺點還是有的,就是目標程序如果不接受輸入法那就沒辦法了�,但是現在一般的游戲都不會禁止玩家在里面打字吧�,而且殺軟也不能禁止用戶輸入漢字吧,哈哈,所以通用性應該還是蠻好的。