DLL(Dynamic Linked Library动态链接库)被加载到进程后会自动运行DllMain()函数,用户可以把想执行的代码放到DllMain()函数,每当加载DLL时,添加的代码就会自然而然得到执行。
DLL注入是指向运行中的其他进程强制插入特定的DLL文件。其工作原理是从外部促使目标进程调用LoadLibrary() API从而强制执行DLL的DllMain()函数,而且被注入的DLL拥有目标进程内存的访问权限,用户可以随意操作。与一般的DLL加载的区别在于,DLL注入加载的目标进程是其自身或其他进程。
DllMain()函数即DLL文件的入口函数:
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved){
switch( dwReason ){
case DLL_PROCESS_ATTACH:
//添加想执行的代码
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
DLL注入主要应用于:改善功能与修复Bug、消息钩取、API钩取、恶意代码、监视和管理PC用户的应用程序等。
DLL注入的实现方法:
1、创建远程线程(CreateRemoteThread() API
2、使用注册表(AppInit_DLLs值):User32.dll加载时会读取AppInit_DLLs,若有值则调用LoadLibrary() API来加载DLL。
3、消息钩取(SetWindowsHookEx() API)
编写将要注入notepad.exe进程的myhack.dll文件,该DLL文件用于联网访问本博客首页(https://blog.csdn.net/ski_12)并下载该网页内容保存为本地文件。
myhack.cpp
//myhack.cpp
#include "windows.h"
//Unicode编码时,tchar为uchar(双字符);ANSI编码时,tchar为char
#include "tchar.h"
//表示链接urlmon.lib这个库
#pragma comment(lib, "urlmon.lib")
//定义URL和文件名等常量
#define DEF_URL (L"https://blog.csdn.net/ski_12")
#define DEF_FILE_NAME (L"SKI12.html")
HMODULE g_hMod = NULL;
//实现下载指定URL内容
DWORD WINAPI ThreadProc(LPVOID lParam){
TCHAR szPath[_MAX_PATH] = {0,};
//获取当前进程已加载模块的文件的完整路径
if( !GetModuleFileName(g_hMod, szPath, MAX_PATH) ){
return FALSE;
}
//_tcsrchr:查找字符串中某个字符最后一次出现的位置
TCHAR *p = _tcsrchr(szPath, '\\');
if( !p ){
return FALSE;
}
//_tcscpy_s:字符拷贝函数,若是UNICODE编码则采用wcscpy_s()函数,若是多字节编码则采用strcpy_s()函数
_tcscpy_s(p + 1, _MAX_PATH, DEF_FILE_NAME);
//下载URL内容到本地文件
URLDownloadToFile(NULL, DEF_URL, szPath, 0, NULL);
return 0;
}
//DLL文件入口函数
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){
HANDLE hThread = NULL;
g_hMod = (HMODULE)hinstDLL;
switch( fdwReason ){
//当DLL被加载时执行
case DLL_PROCESS_ATTACH:
//输出Debug信息
OutputDebugString(L"[!]myhack.dll插入成功.");
//创建线程调用ThreadProc
hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
//关闭线程句柄
CloseHandle(hThread);
break;
}
return TRUE;
}
在DllMain()函数中可以看到,该DLL被加载时(DLL_PROCESS_ATTACH),先输出一个调试字符串,再创建线程调用函数(ThreadProc)。在ThreadProc()函数中通过调用urlmon!URLDownloadToFile() API下载指定网站的文件。
InjectDll.cpp
//InjectDll.cpp
#include "windows.h"
#include "tchar.h"
//查看设置权限
BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege){
TOKEN_PRIVILEGES tp;
HANDLE hToken;
LUID luid;
//获取进程Token
if( !OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) ){
_tprintf(L"[-]OpenProcessToken error: %u\n", GetLastError());
return FALSE;
}
//查看本地系统的权限值
if ( !LookupPrivilegeValue(NULL, lpszPrivilege, &luid) ){
_tprintf(L"[-]LookupPrivilegeValue error: %u\n", GetLastError() );
return FALSE;
}
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = luid;
if( bEnablePrivilege ){
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
}else{
tp.Privileges[0].Attributes = 0;
}
//启用特权或禁用所有特权
if( !AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), (PTOKEN_PRIVILEGES) NULL, (PDWORD)NULL) ){
_tprintf(L"[-]AdjustTokenPrivileges error: %u\n", GetLastError() );
return FALSE;
}
if( GetLastError() == ERROR_NOT_ALL_ASSIGNED ){
_tprintf(L"[-]The token does not have the specified privilege. \n");
return FALSE;
}
return TRUE;
}
//实现DLL注入
BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath){
HANDLE hProcess = NULL;
HANDLE hThread = NULL;
HMODULE hMod = NULL;
LPVOID pRemoteBuf = NULL;
DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1) * sizeof(TCHAR);
LPTHREAD_START_ROUTINE pThreadProc;
//使用dwPID获取目标进程句柄
//得到PROCESS_ALL_ACCESS权限后便可以使用获取的句柄控制对应的进程
if( !(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)) ){
_tprintf(L"[-]OpenProcess(%d) failed!!! [%d]\n", dwPID, GetLastError());
return FALSE;
}
//在目标进程hProcess内存中分配dwBufSize大小的内存空间
pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);
//将DLL文件路径写入内存
WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);
//先获取模块句柄,再从句柄中获取LoadLibraryW() API的地址
//LoadLibraryW()是LoadLibrary()的Unicode字符串版本
//Win OS中,kernel32.dll在每个进程中的加载地址是一致的,故不用特意获取加载到目标进程的kernel32.dll的LoadLibraryW() API地址而直接加载本身的即可
hMod = GetModuleHandle(L"kernel32.dll");
pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");
//令目标进程hProcessd调用CreateRemoteThread()从而调用LoadLibrary()
//其中线程函数ThreadProc()与LoadLibrary()两者形态结构一致,即LoadLibrary()可当做线程函数来执行
hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
WaitForSingleObject(hThread, INFINITE);
//关闭线程和句柄
CloseHandle(hThread);
CloseHandle(hProcess);
return TRUE;
}
//_tmain为支持Unicode所使用的main的一个别名,宏定义在tchar.h,经编译即为main
int _tmain(int argc, TCHAR *argv[]){
if(argc != 3){
_tprintf(L"[*]Usage : %s \n", argv[0]);
return 1;
}
//查看设置权限
if( !SetPrivilege(SE_DEBUG_NAME, TRUE) ){
return 1;
}
//注入DLL
if( InjectDll((DWORD)_tstol(argv[1]), argv[2]) ){
_tprintf(L"[+]Inject DLL (\"%s\") success!!!\n", argv[2]);
}else{
_tprintf(L"[-]Inject DLL (\"%s\") failed!!!\n", argv[2]);
}
return 0;
}
main()函数主要检查输入的参数,然后调用InjectDll()函数。InjectDll()函数用于命令目标进程调用LoadLibrary(“myhack.dll”)以实现DLL注入。
先打开notepad.exe程序,打开DebugView程序,打开Process Explorer查看notepad.exe程序的PID值,本次测试的PID值为1460。然后cmd运行InjectDll.exe:
可以在cmd看到注入DLL成功,同时,在DebugView中查看到注入成功的Debug输出信息。
切换到Process Explorer查看notepad.exe程序,可以看到notepad.exe程序被注入了myhack.dll:
接着到放置InjectDll.exe和myhack.dll的目录中查看,可以发现在本地生成了SKI12.html文件,打开查看是保存的博客首页的内容:
下面开始调试。
运行notepad.exe,然后使用Ollydbg2 Attach该进程:
再F9使其运行起来。
接着设置如下选项,即每当有新的DLL加载到notepad.exe进程时,都会在该DLL的EP处暂停:
接着使用InjectDll.exe注入myhack.dll,查看Ollydbg情况:
分析可知,调试器暂停的地方并不是myhack.dll的EP而是名为iertutil.dll模块的EP,因为在加载myhack.dll之前需要先加载它导入的所有DLL文件。不断F9直至到myhack.dll的EP处暂停:
Windows OS的注册表中默认提供了AppInt_DLLs和LoadAppInit DLLs两个注册表项。
在注册表编辑器中,将要注入的DLL的路径字符串写入AppInit_DLLs项目,然后把LoadAppInit DLLs的项目值设置为1。重启后,指定DLL会注入所有运行进程。
工作原理:user32.dll被加载到进程时,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。严格的说,相应DLL并不会被加载到所有进程,而只是加载至加载user32.dll的进程。另外,Windows XP会忽略LoadAppInit DLLs注册表项。
myhack2.dll
//myhack2.cpp
#include "windows.h"
#include "tchar.h"
//定义常量
#define DEF_CMD L"C:\\Program Files\\Internet Explorer\\\iexplore.exe"
#define DEF_ADDR L"https://blog.csdn.net/ski_12"
#define DEF_DST_PROC L"notepad.exe"
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){
TCHAR szCmd[MAX_PATH] = {0,};
TCHAR szPath[MAX_PATH] = {0,};
TCHAR *p = NULL;
STARTUPINFO si = {0,};
PROCESS_INFORMATION pi = {0,};
si.cb = sizeof(STARTUPINFO);
si.dwFlags = STARTF_USESHOWWINDOW;
si.wShowWindow = SW_HIDE;
switch( fdwReason ){
case DLL_PROCESS_ATTACH :
if( !GetModuleFileName(NULL, szPath, MAX_PATH) ){
break;
}
if( !(p = _tcsrchr(szPath, '\\')) ){
break;
}
if( _tcsicmp(p+1, DEF_DST_PROC) ){
break;
}
wsprintf(szCmd, L"%s %s", DEF_CMD, DEF_ADDR);
//打开IE进程
if( !CreateProcess(NULL, (LPTSTR)(LPCTSTR)szCmd, NULL, NULL, FALSE, NORMAL_PRIORITY_CLASS, NULL, NULL, &si, &pi) ){
break;
}
if( pi.hProcess != NULL ){
CloseHandle(pi.hProcess);
}
break;
}
return TRUE;
}
若当前加载的进程为notepad.exe,则以隐藏模式运行IE,连接指定网站。
将myhack2.dll文件放入测试的目录中,然后运行regedit.exe修改AppInit_DLLs表项的值为myhack2.dll的绝对路径:
接着修改LoadAppInit_DLLs注册表项的值为1:
再重启系统,使修改生效。
重启之后,使用Process Explorer查看myhack2.dll是否被注入所有加载user32.dll的进程中:
可以看到,myhack2.dll成功注入到所有加载user32.dll的进程中,但由于该DLL文件的目标是notepad.exe进程,因而其它进程不会执行任何操作。
运行notepad.exe,可以看到IE被以隐藏模式执行:
和《Windows消息钩取》那篇博客一样,这里buzai