专栏首页方亮VC下提前注入进程的一些方法1——远线程不带参数

VC下提前注入进程的一些方法1——远线程不带参数

        前些天一直在研究Ring3层的提前注入问题。所谓提前注入,就是在程序代码逻辑还没执行前就注入,这样做一般用于Hook API。(转载请指明出处)自己写了个demo,在此记下。

        我的demo使用了两种注入方式:1 远线程; 2 修改代码入口点。

        先说下我代码风格,因为要处理很多异常逻辑,我比较喜欢do{}while(0);这样的结构,一旦出错,就break出来。于是下面代码中可能会出现“莫名其妙”的break,再次说明下,那不是语法错误,因为我只是将部分代码提出来。

1 远线程

        在处理远线程注入问题时,往往会遇到两种情况:1 执行注入的进程不需要传信息给被注入进程 ;2 执行注入的进程需要传信息给被注入进程。

  1.1 执行注入的进程不需要传信息给被注入进程

        最简单的方案就是不需要传信息给被注入进程。实现的相关原理就是使用远线程执行LoadLibrary函数,Load我们的注入DLL。DLL在载入过程或者其他会被执行到的地方执行相关逻辑(如Hook API)。根据需要,可以考虑在远线程执行完毕后,再使用远线程把被注入进程加载的DLL卸载掉。

        首先说LoadLibrary ,这个函数只有一个参数,需要传递Load的DLL路径。那么什么地方保存这个参数呢?于是我们应该找一个注入进程可以访问(因为我们要写入这个数据),被注入进程也可以访问的路径(因为他们要读取)。我们可以考虑申请一个系统全局的空间来保存这个数据,也可以采用非常常见的方案——申请被注入进程的内存空间。我采用的是后者。

        void *pBufferRemote = NULL;
        DWORD dwMemSize =  ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);
        HANDLE pRemoteLoadLibraryThread = NULL;
        BOOL bRun = TRUR;
        do {

            pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );
            if ( NULL == pBufferRemote ) {
                break;
            }
            if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {
                break;
            }
……

        dwMemSize目前保存的是DLL路径的长度(in bytes)。pBufferRemote指向被注入进程申请的内存块首地址。hProcess是被注入进程的句柄。我们使用VirtualAllocEx在被注入进程中申请一块内存,注意这块内存是PAGE_READWRITE,因为我们要读写(不用执行)这块内存。当你这儿写成PAGE_EXECUTE_READWRITE也没啥问题。在申请空间成功后,使用WriteProcessMemory向刚申请的空间中写入DLL的路径。这儿说一下DLL路径问题,因为Windows在寻找路径的问题上存在一定策略。如果采用的相对路径,windows会优先在本进程所在的目录下寻找这个文件,最后回去到系统相关文件夹下去找。但是它肯定不会全盘去搜索这个文件的。于是我们这儿要写入被注入进程的是DLL的绝对路径,因为我们这个路径被访问的进程(被注入的进程)是谁可能我们自己都不知道,其所在的路径和我们进程路径之间的关系更不知道,化繁为简,于是这儿应该用绝对路径。

        DLL地址已经写好了,我们就要让远线程去Load这个地址所指向的DLL。我们Load DLL文件的函数是LoadLibrary,这个函数是Kernel32.dll中的导出函数。像Kernel32.dll、NtDll.dll等这些系统关键DLL是被映射到系统的0x7FFFFFFF~0xFFFFFFFF(32位系统)地址空间,说到这里不得不介绍windows系统的内存管理问题,32位系统下进程内存地址上限是4G,而程序自身只能在低2G内,高2G是系统文件的映射。而且一般情况下各个程序加载LoadLibaray所在的kernel32.DLL的基地址是一样的,于是我们可以直接指定它的值。这个特性将方便我们执行远线程,否则我们就得编写ShellCode去执行我们的逻辑了(下节会介绍)。

do {
                typedef HMODULE (WINAPI *LPLoadLibrary)(LPCWSTR);
                LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;
                if ( NULL == pfnLoadLibraryAddr ) {
                    break;
                }
                pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );
                if ( NULL == pRemoteLoadLibraryThread ) {
                    break;
                }
……

        typedef HMODULE (WINAPI *LPLoadLibrary)(LPCWSTR);这个用于定义函数指针,其对象指向LoadLibraryW(指向A版也可以,但是之前写入的DLL路径也要是A版的)。之后CreateRemoteThread将在被注入进程中创建一个线程会去调用LoadLibrary,我们的DLL就被载入了,可以为所欲为了。哈哈~

       如果想尽量抹掉我们注入的一些痕迹,我们可以把这个逻辑完善些——从被注入进程中卸载远线程载入的DLL。我们要卸载这个DLL,我们就得很耐心的等,等它执行完了。

if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {
                    // 远线程出问题了,关闭进程
                    ::TerminateProcess( hProcess, 0 );
                    bRun = FALSE;
                    break;
                }

        因为我不急,所以我使用INFINITE等到底。此处的break是跳出这段代码之外的do{}while(0);*(以后不说明了)。         终于等到远线程执行完毕,那么我们就开始FreeLibrary吧。别急!FreeLibrary有个参数,是要被卸载的DLL的句柄。这下犯难了。其实没关系,有一个函数GetExitCodeThread。我之前一直没有重视过这个函数,但是这个函数在此场景下发挥了重要作用。我们远线程执行的函数是LoadLibrary,这个函数的返回值是我们加载的DLL的句柄,于是看到GetExitCodeThread这个函数的字面意思,应该就可以想到这个函数应该可以获得我们远线程加载的DLL的句柄,实际也是如此。

// 获取加载模块的句柄
                HMODULE hLibModule = 0;
                // LoadLibrary的返回值就是这个句柄,所以GetExitCodeThread返回的就是这个句柄
                if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {
                    break;
                }

        现在不要高兴太早,因为有个疑虑。远线程是在被注入进程中执行的,那么远线程Load的DLL文件的文件句柄应该在被注入进程的地址空间中,我们在注入进程中获得它也不能操作啊?是的,比如我此时调试时,获得的hLibModule = 0x10000000。其实这也不是问题,我们在我们进程中不对这个值做什么操作,我们只是获取到它,然后再把它塞回到被注入进程中,让FreeLibrary远线程在被注入进程中去操作它。

// 获取FreeLibrary函数地址
                LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;
                if ( NULL  == pfnFreeLibraryAddr ) {
                    break;
                }
                // 远线程卸载DLL
                HANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );

        之后是等待FreeLibrary远线程结束和判断其返回值,这儿不再赘述。但是有一个非常关键的操作——恢复主线程(ResumeThread( hThread );)。我想很多做这块的人都发现过,在xp中以挂起方式创建的进程,在被执行完远线程并线程退出后,恢复主线程会导致主进程退出。我也找过相关原因,也没找到足够的理论支持,只是找到两个方法:让远线程一直活着;或者远线程做完事后激发一个事件A并等待另一个事件B,注入进程等到A事件后恢复主线程,主线程执行一段时间后注入进程激发B事件,通知远线程结束。之前的一个方案简单,当然像我们做技术的,总是不能满足于简单。于是我探索了下后一种方案,后一种方案引入一个问题:事件是什么样的?全局命名的事件?如果是全局命名的也太简单了,不讨论。没有名字的?是的,就是使用没有名字的非全局事件。于是这儿又遇到一个问题:如何将这个句柄给远线程呢?现在抛出这个问题,下节我们会讲到使用ShellCode加载我们的DLL,调用DLL中的导出函数并传入参数。最后贴一下之上的完整代码

// 不传参数过去,并且会卸载DLL
    BOOL HookProcessByCreateRemoteThread( HANDLE hProcess, HANDLE hThread, LPCWSTR lpDllPath )
    {
        if ( NULL == hProcess || NULL == hThread || NULL == lpDllPath ) {
            return FALSE;
        }

        BOOL bSuc = FALSE;

        void *pBufferRemote = NULL;
        DWORD dwMemSize =  ( (DWORD) wcslen( lpDllPath ) ) * sizeof(WCHAR);
        HANDLE pRemoteLoadLibraryThread = NULL;
        BOOL bRun = TRUE;

        do {

            pBufferRemote = ::VirtualAllocEx( hProcess, NULL, dwMemSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE );
            if ( NULL == pBufferRemote ) {
                break;
            }
            if ( FALSE == WriteProcessMemory( hProcess, pBufferRemote, lpDllPath, dwMemSize, NULL ) ) {
                break;
            }
                
            do {

                LPLoadLibrary pfnLoadLibraryAddr = LoadLibraryW;
                if ( NULL == pfnLoadLibraryAddr ) {
                    break;
                }
                pRemoteLoadLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnLoadLibraryAddr, pBufferRemote, 0, NULL );
                if ( NULL == pRemoteLoadLibraryThread ) {
                    break;
                }

                if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteLoadLibraryThread, INFINITE ) ) {
                    // 远线程出问题了,关闭进程
                    ::TerminateProcess( hProcess, 0 );
                    bRun = FALSE;
                    break;
                }

                // 获取加载模块的句柄
                HMODULE hLibModule = 0;
                // LoadLibrary的返回值就是这个句柄,所以GetExitCodeThread返回的就是这个句柄
                if ( FALSE == GetExitCodeThread( pRemoteLoadLibraryThread, (LPDWORD)&hLibModule ) ) {
                    break;
                }

                // 获取FreeLibrary函数地址
                LPFreeLibrary pfnFreeLibraryAddr = FreeLibrary;
                if ( NULL  == pfnFreeLibraryAddr ) {
                    break;
                }
                // 远线程卸载DLL
                HANDLE pRemoteFreeLibraryThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pfnFreeLibraryAddr, &hLibModule, 0, NULL );

                do {
                    if ( NULL == pRemoteFreeLibraryThread ) {
                        break;
                    }
                   
                    if ( WAIT_OBJECT_0 != WaitForSingleObject( pRemoteFreeLibraryThread, INFINITE ) ) {
                        break;
                    }
                    else {
                        // 查看卸载DLL结果
                        if ( FALSE == GetExitCodeThread( pRemoteFreeLibraryThread, (LPDWORD)&bSuc ) ) {
                            break;
                        }
                    }

                } while (0);

                if ( NULL != pRemoteFreeLibraryThread ) {
                    CloseHandle( pRemoteFreeLibraryThread );
                    pRemoteFreeLibraryThread = NULL;
                }

            }while (0);

            if ( NULL != pRemoteLoadLibraryThread ) {
                CloseHandle( pRemoteLoadLibraryThread );
                pRemoteLoadLibraryThread = NULL;
            }

        }while(0);
        
        if ( bRun ) {
            ResumeThread( hThread );
        }

        return bSuc;
    }

(转载请指明出处)

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • DllMain中不当操作导致死锁问题的分析--线程退出时产生了死锁

            我们回顾下之前举得例子(转载请指明出于breaksoftware的csdn博客)

    方亮
  • 一种清除windows通知区域“僵尸”图标的方案——XP系统解决方案

            从《一种清除windows通知区域“僵尸”图标的方案——问题分析》(以后简称《问题分析》)一文中分析的通知区域结构可以看出,XP的通知区域结构是...

    方亮
  • PE文件和COFF文件格式分析——导出表的应用——通过导出表隐性加载DLL

            通过导出表隐性加载DLL?导出表?加载DLL?还隐性?是的。如果觉得不可思议,可以先看《PE文件和COFF文件格式分析——导出表》中关于“导出地...

    方亮
  • Java并发编程,一定要有自己的理解【面试+工作】

    编写优质的并发代码是一件难度极高的事情。Java语言从第一版本开始内置了对多线程的支持,这一点在当年是非常了不起的,但是当我们对并发编程有了更深刻的认识和更多的...

    奋斗蒙
  • IDEA 导入web项目

    你会发现如果该项目已经被 IDEA 确定为 web 项目,文件夹的右下角会有一个黑色的标记。

    wsuo
  • 欢迎大家关注我的公众号:大魏分享 david-share

    专栏文章是从微信公众号同步过来的,欢迎大家关注我的公众号:大魏分享 david-share

    魏新宇
  • 期待过高,槽点不少!从申请到成交:微信「小店」小程序全面测评

    前段时间微信官方宣布,「微信小店小程序」正式上线。当时看到这条消息的时候特别激动,作为一个农产品电商从业者来说,简直是比找到女朋友还开心。

    知晓君
  • 业界 | 谷歌为YouTube添加新功能:利用机器学习自动生成音效字幕

    选自Google blog 作者:Sourish Chaudhuri 机器之心编译 音频(audio)对于我们对世界的感知的影响的巨大自然不言而喻。语音(spe...

    机器之心
  • 简单小妙招,教你快速加字幕!

    每次一到加字幕就头疼,一遍遍地听、对音频、校对,花费的时间太多了。今天做了一个睡眠日的街采视频(见文末),内容比较多(见下图,将近四分钟的视频),确实时间紧迫,...

    半夜喝可乐
  • C#:数据并行

    在 Action<int, ParallelLoopState>等这样的action中,使用如下的代码可以实现stop和break:

    sherlock99

扫码关注云+社区

领取腾讯云代金券