VC下提前注入进程的一些方法1——远线程不带参数
前些天一直在研究Ring3层的提前注入问题。所谓提前注入,就是在程序代码逻辑还没执行前就注入,这样做一般用于Hook API。(转载请指明出处)自己写了个demo,在此记下。
我的demo使用了两种注入方式:1 远线程; 2 修改代码入口点。
先说下我代码风格,因为要处理很多异常逻辑,我比较喜欢do{}while(0);这样的结构,一旦出错,就break出来。于是下面代码中可能会出现“莫名其妙”的break,再次说明下,那不是语法错误,因为我只是将部分代码提出来。
1 远线程
在处理远线程注入问题时,往往会遇到两种情况:1 执行注入的进程不需要传信息给被注入进程 ;2 执行注入的进程需要传信息给被注入进程。
1.1 执行注入的进程不需要传信息给被注入进程
最简单的方案就是不需要传信息给被注入进程。实现的相关原理就是使用远线程执行LoadLibrary函数,Load我们的注入DLL。DLL在载入过程或者其他会被执行到的地方执行相关逻辑(如Hook API)。根据需要,可以考虑在远线程执行完毕后,再使用远线程把被注入进程加载的DLL卸载掉。
首先说LoadLibrary ,这个函数只有一个参数,需要传递Load的DLL路径。那么什么地方保存这个参数呢?于是我们应该找一个注入进程可以访问(因为我们要写入这个数据),被注入进程也可以访问的路径(因为他们要读取)。我们可以考虑申请一个系统全局的空间来保存这个数据,也可以采用非常常见的方案——申请被注入进程的内存空间。我采用的是后者。
void *pBufferRemote = NULL;
DWORD dwMemSize = ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);
HANDLE pRemoteLoadLibraryThread = NULL;
BOOL bRun = TRUR;
do {
pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );
if ( NULL == pBufferRemote ) {
break;
}
if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {
break;
}
……dwMemSize目前保存的是DLL路径的长度(in bytes)。pBufferRemote指向被注入进程申请的内存块首地址。hProcess是被注入进程的句柄。我们使用VirtualAllocEx在被注入进程中申请一块内存,注意这块内存是PAGE_READWRITE,因为我们要读写(不用执行)这块内存。当你这儿写成PAGE_EXECUTE_READWRITE也没啥问题。在申请空间成功后,使用WriteProcessMemory向刚申请的空间中写入DLL的路径。这儿说一下DLL路径问题,因为Windows在寻找路径的问题上存在一定策略。如果采用的相对路径,windows会优先在本进程所在的目录下寻找这个文件,最后回去到系统相关文件夹下去找。但是它肯定不会全盘去搜索这个文件的。于是我们这儿要写入被注入进程的是DLL的绝对路径,因为我们这个路径被访问的进程(被注入的进程)是谁可能我们自己都不知道,其所在的路径和我们进程路径之间的关系更不知道,化繁为简,于是这儿应该用绝对路径。
DLL地址已经写好了,我们就要让远线程去Load这个地址所指向的DLL。我们Load DLL文件的函数是LoadLibrary,这个函数是Kernel32.dll中的导出函数。像Kernel32.dll、NtDll.dll等这些系统关键DLL是被映射到系统的0x7FFFFFFF~0xFFFFFFFF(32位系统)地址空间,说到这里不得不介绍windows系统的内存管理问题,32位系统下进程内存地址上限是4G,而程序自身只能在低2G内,高2G是系统文件的映射。而且一般情况下各个程序加载LoadLibaray所在的kernel32.DLL的基地址是一样的,于是我们可以直接指定它的值。这个特性将方便我们执行远线程,否则我们就得编写ShellCode去执行我们的逻辑了(下节会介绍)。
do {
typedef HMODULE (WINAPI *LPLoadLibrary)(LPCWSTR);
LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;
if ( NULL == pfnLoadLibraryAddr ) {
break;
}
pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );
if ( NULL == pRemoteLoadLibraryThread ) {
break;
}
……typedef HMODULE (WINAPI *LPLoadLibrary)(LPCWSTR);这个用于定义函数指针,其对象指向LoadLibraryW(指向A版也可以,但是之前写入的DLL路径也要是A版的)。之后CreateRemoteThread将在被注入进程中创建一个线程会去调用LoadLibrary,我们的DLL就被载入了,可以为所欲为了。哈哈~
如果想尽量抹掉我们注入的一些痕迹,我们可以把这个逻辑完善些——从被注入进程中卸载远线程载入的DLL。我们要卸载这个DLL,我们就得很耐心的等,等它执行完了。
if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {
// 远线程出问题了,关闭进程
::TerminateProcess( hProcess, 0 );
bRun = FALSE;
break;
}因为我不急,所以我使用INFINITE等到底。此处的break是跳出这段代码之外的do{}while(0);*(以后不说明了)。 终于等到远线程执行完毕,那么我们就开始FreeLibrary吧。别急!FreeLibrary有个参数,是要被卸载的DLL的句柄。这下犯难了。其实没关系,有一个函数GetExitCodeThread。我之前一直没有重视过这个函数,但是这个函数在此场景下发挥了重要作用。我们远线程执行的函数是LoadLibrary,这个函数的返回值是我们加载的DLL的句柄,于是看到GetExitCodeThread这个函数的字面意思,应该就可以想到这个函数应该可以获得我们远线程加载的DLL的句柄,实际也是如此。
// 获取加载模块的句柄
HMODULE hLibModule = 0;
// LoadLibrary的返回值就是这个句柄,所以GetExitCodeThread返回的就是这个句柄
if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {
break;
}现在不要高兴太早,因为有个疑虑。远线程是在被注入进程中执行的,那么远线程Load的DLL文件的文件句柄应该在被注入进程的地址空间中,我们在注入进程中获得它也不能操作啊?是的,比如我此时调试时,获得的hLibModule = 0x10000000。其实这也不是问题,我们在我们进程中不对这个值做什么操作,我们只是获取到它,然后再把它塞回到被注入进程中,让FreeLibrary远线程在被注入进程中去操作它。
// 获取FreeLibrary函数地址
LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;
if ( NULL == pfnFreeLibraryAddr ) {
break;
}
// 远线程卸载DLL
HANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );之后是等待FreeLibrary远线程结束和判断其返回值,这儿不再赘述。但是有一个非常关键的操作——恢复主线程(ResumeThread( hThread );)。我想很多做这块的人都发现过,在xp中以挂起方式创建的进程,在被执行完远线程并线程退出后,恢复主线程会导致主进程退出。我也找过相关原因,也没找到足够的理论支持,只是找到两个方法:让远线程一直活着;或者远线程做完事后激发一个事件A并等待另一个事件B,注入进程等到A事件后恢复主线程,主线程执行一段时间后注入进程激发B事件,通知远线程结束。之前的一个方案简单,当然像我们做技术的,总是不能满足于简单。于是我探索了下后一种方案,后一种方案引入一个问题:事件是什么样的?全局命名的事件?如果是全局命名的也太简单了,不讨论。没有名字的?是的,就是使用没有名字的非全局事件。于是这儿又遇到一个问题:如何将这个句柄给远线程呢?现在抛出这个问题,下节我们会讲到使用ShellCode加载我们的DLL,调用DLL中的导出函数并传入参数。最后贴一下之上的完整代码
// 不传参数过去,并且会卸载DLL
BOOL HookProcessByCreateRemoteThread( HANDLE hProcess, HANDLE hThread, LPCWSTR lpDllPath )
{
if ( NULL == hProcess || NULL == hThread || NULL == lpDllPath ) {
return FALSE;
}
BOOL bSuc = FALSE;
void *pBufferRemote = NULL;
DWORD dwMemSize = ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);
HANDLE pRemoteLoadLibraryThread = NULL;
BOOL bRun = TRUE;
do {
pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );
if ( NULL == pBufferRemote ) {
break;
}
if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {
break;
}
do {
LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;
if ( NULL == pfnLoadLibraryAddr ) {
break;
}
pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );
if ( NULL == pRemoteLoadLibraryThread ) {
break;
}
if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {
// 远线程出问题了,关闭进程
::TerminateProcess( hProcess, 0 );
bRun = FALSE;
break;
}
// 获取加载模块的句柄
HMODULE hLibModule = 0;
// LoadLibrary的返回值就是这个句柄,所以GetExitCodeThread返回的就是这个句柄
if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {
break;
}
// 获取FreeLibrary函数地址
LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;
if ( NULL == pfnFreeLibraryAddr ) {
break;
}
// 远线程卸载DLL
HANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );
do {
if ( NULL == pRemoteFreeLibraryThread ) {
break;
}
if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteFreeLibraryThread, INFINITE ) ) {
break;
}
else {
// 查看卸载DLL结果
if ( FALSE == GetExitCodeThread( pRemoteFreeLibraryThread, (LPDWORD)&bSuc ) ) {
break;
}
}
} while (0);
if ( NULL != pRemoteFreeLibraryThread ) {
CloseHandle( pRemoteFreeLibraryThread );
pRemoteFreeLibraryThread = NULL;
}
}while (0);
if ( NULL != pRemoteLoadLibraryThread ) {
CloseHandle( pRemoteLoadLibraryThread );
pRemoteLoadLibraryThread = NULL;
}
}while(0);
if ( bRun ) {
ResumeThread( hThread );
}
return bSuc;
}