动态修改其它进程的代码实现DLL注入

 
传统的远程进程控制方式有利用HOOK技术注入DLL,和利用远线程在目标进程中建立新的执行线程的方式.

远线程不被win9x所支持,而hook技术会对目标进程性能造成一定的影响.并具可以通过枚举消息链的方式发现.

本文给出一种动态修改目标进程代码,注入DLL到目标进程的方法,效率高,不需要额外线程.缺点是使用难度大于上面二种办法,并且修改目标代码的方法,受到编译器的影响.使用不同的编译器时,需要根据编译器调整动态代码修改方式.

动态修改目标进程代码,使其加载自已的DLL的思路如下:

1. 得到目标进程句柄.

2. 在目标进程中分配一块可执行可读写的内存.

3. 写入加载DLL的代码到分配出来的内存中.

4. 修正动态写入的代码中的地址(LoadLibrary地址,DLL名字地址).

5. 修改目标进程本身的代码,使其执行到被修改代码时,跳到加载DLL的代码处.

6. 加载完DLL后,修正目标进程原来的代码,并跳回去继续执行.

这个过程中需要注意的地方是. 对寄存器的保护,堆栈的平衡.

其中第5步需要修改一块目标进程一定会执行的代码,消息循环是个不错的地方.这里以记事本为例.

打开ollydbg,在TranslateMessage函数下断点,中断后如下:

010029FC   |. /75 14              |jnz short notepad.01002A12

010029FE   |. |8D45 E0            |lea eax,dword ptr ss:[ebp-20]

01002A01   |. |50                 |push eax                             ; /pMsg

01002A02   |. |FF15 98120001      |call dword ptr ds:[<&USER32.Translat>; /TranslateMessage

01002A08   |. |8D45 E0            |lea eax,dword ptr ss:[ebp-20]

01002A0B   |. |50                 |push eax                             ; /pMsg

01002A0C   |. |FF15 94120001      |call dword ptr ds:[<&USER32.Dispatch>; /DispatchMessageW

01002A12   |> /56                  push esi

01002A13   |.  56                 |push esi

01002A14   |.  8D45 E0            |lea eax,dword ptr ss:[ebp-20]

01002A17   |.  56                 |push esi

01002A18   |.  50                 |push eax

01002A19   |.  FFD7               |call edi

0x01002A02处是个不错的地方,可以动态修改它. 改成

mov eax, 加载dll的代码地址

jmp eax

需要注意的是,此程序基址在不同的系统上有可能不一样,可以从PE头中得到映像基址.所以此处的0x1002A02也许在你的机器上是另一个地址,请使用OD自行确定.(我是winxp sp2)

找到修改点后,然后就是分配可执行可读写内存,写入下面一段代码进去

    pusha

    //eax中是LoadLibrary函数地址,暂时为0xffffffff

    //由程序动态改成真实函数地址

    mov eax, 0xffffffff

    //要加载的DLL的名字地址,暂时为0xffffffff

    //由程序动态改成真实地址

    mov ebx, 0xffffffff

    push ebx

    //调用LoadLibrary,加载自已的DLL

    //这样DLL就注入到目标进程了

    call eax           

    popa

    //恢复 0x1002A02处的代码,并跳回去执行

    //选执eax寄存器是因为0x1002A02后面的代码没有直接使用到eax

    mov eax, CODE_OFFSET

    mov dword ptr [eax], 0x129815FF

    mov dword ptr [eax+4], 0x458D0100  

    jmp eax

下面的代码是在加载DLL后,修正目标进程原有的代码

    mov eax, CODE_OFFSET

    mov dword ptr [eax], 0x129815FF

    mov dword ptr [eax+4], 0x458D0100 

0x129815FF 0x458D0100 即为原有代码(字节顺序是倒过来的, 0x129815FF 倒过来即是 FF159812, 0x458D0100倒过来即是00018D45,请注意和下面代码对比

01002A02   |. |FF15 98120001      |call dword ptr ds:[<&USER32.Translat>; /TranslateMessage

01002A08   |. |8D45 E0            |lea eax,dword ptr ss:[ebp-20]

其它基本上就是编码了,例子如下,测试时,请自行编写一个 Test.dll ,放在记事本同一个目录下,不同的编译器,不同的系统请自行修正一些细节:(我是使用的Release模式,Debug模式代码会不同的)

#include <iostream>

#include <windows.h>

#include <psapi.h>

using std::cout;

using std::cin;

using std::endl;

//记事本的映象基址,不同的系统可能不一样

//这个值可以从PE头中读取

#define NOTEPAD_IMAGE_BASE     0x1000000;

#define CODE_OFFSET         0x1002A02;

//用来测试的DLL名

const char *dllname = "Test.dll";

void loaddll()

{

    __asm

    {

        pusha

        //eax中是LoadLibrary函数地址,暂时为0xffffffff

        //由程序动态改成真实函数地址

        mov eax, 0xffffffff

        //要加载的DLL的名字地址,暂时为0xffffffff

        //由程序动态改成真实地址

        mov ebx, 0xffffffff

        push ebx

        //调用LoadLibrary,加载自已的DLL

        //这样DLL就注入到目标进程了

        call eax           

        popa

        //恢复 0x1002A02处的代码,并跳回去执行

        //选执eax寄存器是因为0x1002A02后面的代码没有直接使用到eax

        mov eax, CODE_OFFSET

        mov dword ptr [eax], 0x129815FF

        mov dword ptr [eax+4], 0x458D0100  

        jmp eax

    }

}

#pragma pack(push) //保存对齐状态

#pragma pack(1)    //设定为1字节对齐

struct JmpCode

{

    byte op;

    char* address;

    WORD jmp;

};

#pragma pack(pop)

int main()

{

    //找记事本主窗口句柄

    HWND wnd = FindWindow(NULL, "无标题 - 记事本");

    if (!IsWindow(wnd))

    {

        cout << "记事窗口没找到" << std::endl;

        return 1;

    }

    //读取进程ID,和进程句柄

    DWORD pid;

    HANDLE ph;

    GetWindowThreadProcessId(wnd, &pid);

    ph = OpenProcess(PROCESS_ALL_ACCESS, false, pid);

    //在记事本进程中分配一页可读写可执行的虚拟内存

    void *address = VirtualAllocEx(ph, NULL, 4096, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    //写代码的地址(写在字符串后面)

    char *code = (char*)address + strlen(dllname) + 1;

    if (NULL == address)

    {

        cout << "分配远端内存失败" << std::endl;

        return 1;

    }

    DWORD ws;

    //把代码写到内存页中

    WriteProcessMemory(ph, code, &loaddll, 4000, &ws);

    //把DLL名写到内存页中

    WriteProcessMemory(ph, address, dllname, strlen(dllname), &ws);

    //把loadlibrary的地址写到eax 0xfffffff处,把0xffffffff替换为真正的地址

    //code+9为eax 0xffffffff中0xffffffff处的偏移,通过反汇编工具查看+ 9是为了跳过

    //编译器给loadll函数生成的框架

    HMODULE module = LoadLibrary("kernel32.dll");

    FARPROC pro = GetProcAddress(module, "LoadLibraryA");

    WriteProcessMemory(ph, code + 9, &pro, 4, &ws);

    //把dllname的地址写到ebx 0xffffffff处,把dllname作为参数

    WriteProcessMemory(ph, code + 14, &address, 4, &ws);

    //修改记事本消息循环处的代码.

    JmpCode jmp;

    jmp.op = 0xB8;

    jmp.address = code + 6;                //这段代码是 mov eax, 地址

    jmp.jmp = 0xE0FF;                    //jmp eax

    address = (void*)CODE_OFFSET;

    //让代码段可读写

    VirtualProtectEx(ph, address, 4096, PAGE_EXECUTE_READWRITE, &ws);

    //改写目标处的代码,让其跳到自已的代码处执行

    WriteProcessMemory(ph, address, &jmp, 8, &ws);

    return 0;

}

运行,测试,OK! Test.dll被正确加载,目标进程现在是你的了,随便玩吧.