我們知道將動態連接庫注入到其他進程中有很多種方法。最常見的方法是使用鉤子函數(Hook),但是這種方法主要有兩個缺點:第一如果某個進程沒有加載User32.dll,那么Hook DLL將永遠也不會被加載。第二Hook DLL加載的時機問題,只有在進程發出User32調用的時候, Hook DLL才有可能被加載。也就是說假設進程正在進行復雜的數值計算而沒有時間進行消息調用的時候,Hook DLL是不會被加載。理論上我們沒有精確的辦法來確定我們的Hook DLL是否已經注入到我們想要的進程中。另外一種最常見的方法是使用函數CreateRemoteThread,在其他進程中開啟一個線程來裝載DLL。應該說這是一種比較完美的解決放案,這種方法避免了上述使用鉤子函數的所有缺點,但是遺憾的是這個函數只能使用在WinNT/2000下。
本文將討論一種將動態連接庫注入到其他進程中的一種新方法。它的思路與使用函數CreateRemoteThread的方法相類似,只不過可以使用在Win9x,Win2k,WinXP等操作系統下。在這里我們將向讀者演示我們是如何將DLL(InjectDll.dll)注入到Explorer.exe進程中!
程序的思路如下
1:得到Explorer.exe進程中任意一個線程的ID.
2:根據這個線程的ID,得到這個線程的句柄Handle
3:掛起這個線程,并保存線程當前的“上下文”
4:改變這個線程的EIP指針,使它指向我們裝載DLL的函數(InjectCodeFun),然后恢復這個線程。
5:我們的裝載DLL的函數運行完成后,再次掛起這個線程,使用我們以前保存的“上下文”,恢復這個線程到它被改變前的狀態,并繼續運行。
經過上述幾個步驟,Explorer.exe進程中就會替我們裝載我們的DLL(InjectDll.dll)了,有趣的是Explorer.exe對此絲毫沒有察覺任何異常 !
下面我們將詳細解釋一下如何編程實現上述過程。
步驟1的實現是很容易的,我們只需要調用ToolHelp的函數就可以得到我們所要得,這里我們就不詳細說明了,請參考源代碼中GetProcessID, GetThreadID 兩個函數。
步驟2就比較麻煩了,在Win9x中沒有提供一個函數可以由Thread ID得到Thread Handle(幸運的是Win2K提供這種功能)。好在我們在國外一些BBS上可以找到這個函數,它使用了一些未公開的結構,本文的目的不是討論這個問題,讀者如果有興趣的話,可以參考我們的源代碼OpenThread2函數。這個函數的作用就是傳入一個Thread ID參數返回相應的 Thread Handle。
步驟3 的實現也是很容易和規范的,我們可以用SuspendThread,GetThreadContext等SDK函數輕松完成。
步驟4 這個步驟是最重要的步驟了。為了說明方便,我們將引用我們源代碼中的語句,請讀者參考源代碼中InjectCodeIntoThread 函數。
首先改變線程的EIP指針,我們可以用下列代碼完成
ThreadContext.Eip = (DWORD)m_lpCodeBase;
SetThreadContext(m_hInjectThread,&ThreadContext);
變量m_lpCodeBase指向我們的裝載DLL的函數(InjectCodeFun)的首地址。
這里最關鍵的部分是我們如何產生我們的裝載DLL的函數(InjectCodeFun)。注意我們不能簡單地在我們的程序里寫一個函數,然后將它的首地址賦值給EIP。這是因為裝載DLL的函數是要運行在Explorer.exe地址空間中的,如果我們使用自己地址空間中的函數的話,那么必然會導致系統崩潰。解決的辦法是將我們寫的裝載DLL函數(InjectCodeFun)放在所有程序共享的地址空間中去,在Win9x中0x80000000 ~ 0xFFFFFFFF這段地址就是我們想要的共享地址空間,那么如何將我們寫的裝載DLL函數放在這段地址空間呢 ?方法有很多,我們使用一種規范的方法“內存映像文件”來解決這個問題。我們通過函數CreateFileMapping來分配一段共享地址空間,然后將我們寫的裝載DLL函數拷貝到這段地址空間中去。具體代碼請參源代碼中InitInject函數。
在我們寫的裝載DLL函數(InjectCodeFun)中還有兩個問題我們需要解釋一下,第一 在這個函數中我們不能使用任何我們自己程序中定義的變量,道理跟上面講的一樣,因為地址空間不同。還有我們不能直接調用函數,例如在InjectCodeFun中直接使用LoadLibray。這是因為如果直接使用LoadLibray那么就需要經過程序的Import表,跳轉一下才能到達真正的Windows的LoadLibray函數。但是不同的進程有不同的Import,所以我們不能直接調用函數。我們可以使用一種叫做“動態構造函數”的技術來創建我們的函數。首先用GetProcAddress得到函數LoadLibray的直接地址,然后在調用LoadLibray的地方,使用一個特殊的數字來代替它如 0x11111111,最后在將我們的函數拷貝到共享地址空間之后,搜索共享內存找到這個特殊數字,用我們先前得到的正確地址替換它既可。第二個有趣的現象是我們所寫的裝載DLL函數(InjectCodeFun)是不應該返回的。這是因為這個函數是在Explorer的線程中運行的,我們不知道堆棧的正確內容,不知道ESP所指向的地址是什么,如果函數返回的話,我們將失去對程序的控制。我們的辦法是,當調用完LoadLibray之后,向我們的主程序發送一個自定義消息,通告我們的程序已經完成裝載任務,然后讓線程進入死循環狀態。
步驟5當我們的程序接受到了自定義消息后,就會再次掛起這個線程,把我們以前保存的線程的“上下文”用函數SetThreadContext恢復,然后恢復運行這個線程。結果是Explorer.exe絲毫沒有感覺到自己被中斷過。
以上就是我們所介紹的方法,讀者可以參考我們的源代碼來具體了解上述方法。源代碼的功能是將我們的DLL(InjectDll.dll)注入到Explorer.exe 中,在InjectDll.dll中我們創建了一個新的線程,然后在屏幕的左上角顯示當前的時間。源代碼分為Win9x版本和Win2k版本,這兩個版本的主要差別是分配共享內存的方法不同而已。源代碼已經在PWn98,PwinMe,Win2k,WinXP等操作系統下,使用VC6編譯通過。