我們知道將動態(tài)連接庫注入到其他進(jìn)程中有很多種方法。最常見的方法是使用鉤子函數(shù)(Hook),但是這種方法主要有兩個(gè)缺點(diǎn):第一如果某個(gè)進(jìn)程沒有加載User32.dll,那么Hook DLL將永遠(yuǎn)也不會被加載。第二Hook DLL加載的時(shí)機(jī)問題,只有在進(jìn)程發(fā)出User32調(diào)用的時(shí)候, Hook DLL才有可能被加載。也就是說假設(shè)進(jìn)程正在進(jìn)行復(fù)雜的數(shù)值計(jì)算而沒有時(shí)間進(jìn)行消息調(diào)用的時(shí)候,Hook DLL是不會被加載。理論上我們沒有精確的辦法來確定我們的Hook DLL是否已經(jīng)注入到我們想要的進(jìn)程中。另外一種最常見的方法是使用函數(shù)CreateRemoteThread,在其他進(jìn)程中開啟一個(gè)線程來裝載DLL。應(yīng)該說這是一種比較完美的解決放案,這種方法避免了上述使用鉤子函數(shù)的所有缺點(diǎn),但是遺憾的是這個(gè)函數(shù)只能使用在WinNT/2000下。
本文將討論一種將動態(tài)連接庫注入到其他進(jìn)程中的一種新方法。它的思路與使用函數(shù)CreateRemoteThread的方法相類似,只不過可以使用在Win9x,Win2k,WinXP等操作系統(tǒng)下。在這里我們將向讀者演示我們是如何將DLL(InjectDll.dll)注入到Explorer.exe進(jìn)程中!
程序的思路如下
1:得到Explorer.exe進(jìn)程中任意一個(gè)線程的ID.
2:根據(jù)這個(gè)線程的ID,得到這個(gè)線程的句柄Handle
3:掛起這個(gè)線程,并保存線程當(dāng)前的“上下文”
4:改變這個(gè)線程的EIP指針,使它指向我們裝載DLL的函數(shù)(InjectCodeFun),然后恢復(fù)這個(gè)線程。
5:我們的裝載DLL的函數(shù)運(yùn)行完成后,再次掛起這個(gè)線程,使用我們以前保存的“上下文”,恢復(fù)這個(gè)線程到它被改變前的狀態(tài),并繼續(xù)運(yùn)行。
經(jīng)過上述幾個(gè)步驟,Explorer.exe進(jìn)程中就會替我們裝載我們的DLL(InjectDll.dll)了,有趣的是Explorer.exe對此絲毫沒有察覺任何異常 !
下面我們將詳細(xì)解釋一下如何編程實(shí)現(xiàn)上述過程。
步驟1的實(shí)現(xiàn)是很容易的,我們只需要調(diào)用ToolHelp的函數(shù)就可以得到我們所要得,這里我們就不詳細(xì)說明了,請參考源代碼中GetProcessID, GetThreadID 兩個(gè)函數(shù)。
步驟2就比較麻煩了,在Win9x中沒有提供一個(gè)函數(shù)可以由Thread ID得到Thread Handle(幸運(yùn)的是Win2K提供這種功能)。好在我們在國外一些BBS上可以找到這個(gè)函數(shù),它使用了一些未公開的結(jié)構(gòu),本文的目的不是討論這個(gè)問題,讀者如果有興趣的話,可以參考我們的源代碼OpenThread2函數(shù)。這個(gè)函數(shù)的作用就是傳入一個(gè)Thread ID參數(shù)返回相應(yīng)的 Thread Handle。
步驟3 的實(shí)現(xiàn)也是很容易和規(guī)范的,我們可以用SuspendThread,GetThreadContext等SDK函數(shù)輕松完成。
步驟4 這個(gè)步驟是最重要的步驟了。為了說明方便,我們將引用我們源代碼中的語句,請讀者參考源代碼中InjectCodeIntoThread 函數(shù)。
首先改變線程的EIP指針,我們可以用下列代碼完成
ThreadContext.Eip = (DWORD)m_lpCodeBase;
SetThreadContext(m_hInjectThread,&ThreadContext);
變量m_lpCodeBase指向我們的裝載DLL的函數(shù)(InjectCodeFun)的首地址。
這里最關(guān)鍵的部分是我們?nèi)绾萎a(chǎn)生我們的裝載DLL的函數(shù)(InjectCodeFun)。注意我們不能簡單地在我們的程序里寫一個(gè)函數(shù),然后將它的首地址賦值給EIP。這是因?yàn)檠b載DLL的函數(shù)是要運(yùn)行在Explorer.exe地址空間中的,如果我們使用自己地址空間中的函數(shù)的話,那么必然會導(dǎo)致系統(tǒng)崩潰。解決的辦法是將我們寫的裝載DLL函數(shù)(InjectCodeFun)放在所有程序共享的地址空間中去,在Win9x中0x80000000 ~ 0xFFFFFFFF這段地址就是我們想要的共享地址空間,那么如何將我們寫的裝載DLL函數(shù)放在這段地址空間呢 ?方法有很多,我們使用一種規(guī)范的方法“內(nèi)存映像文件”來解決這個(gè)問題。我們通過函數(shù)CreateFileMapping來分配一段共享地址空間,然后將我們寫的裝載DLL函數(shù)拷貝到這段地址空間中去。具體代碼請參源代碼中InitInject函數(shù)。
在我們寫的裝載DLL函數(shù)(InjectCodeFun)中還有兩個(gè)問題我們需要解釋一下,第一 在這個(gè)函數(shù)中我們不能使用任何我們自己程序中定義的變量,道理跟上面講的一樣,因?yàn)榈刂房臻g不同。還有我們不能直接調(diào)用函數(shù),例如在InjectCodeFun中直接使用LoadLibray。這是因?yàn)槿绻苯邮褂肔oadLibray那么就需要經(jīng)過程序的Import表,跳轉(zhuǎn)一下才能到達(dá)真正的Windows的LoadLibray函數(shù)。但是不同的進(jìn)程有不同的Import,所以我們不能直接調(diào)用函數(shù)。我們可以使用一種叫做“動態(tài)構(gòu)造函數(shù)”的技術(shù)來創(chuàng)建我們的函數(shù)。首先用GetProcAddress得到函數(shù)LoadLibray的直接地址,然后在調(diào)用LoadLibray的地方,使用一個(gè)特殊的數(shù)字來代替它如 0x11111111,最后在將我們的函數(shù)拷貝到共享地址空間之后,搜索共享內(nèi)存找到這個(gè)特殊數(shù)字,用我們先前得到的正確地址替換它既可。第二個(gè)有趣的現(xiàn)象是我們所寫的裝載DLL函數(shù)(InjectCodeFun)是不應(yīng)該返回的。這是因?yàn)檫@個(gè)函數(shù)是在Explorer的線程中運(yùn)行的,我們不知道堆棧的正確內(nèi)容,不知道ESP所指向的地址是什么,如果函數(shù)返回的話,我們將失去對程序的控制。我們的辦法是,當(dāng)調(diào)用完LoadLibray之后,向我們的主程序發(fā)送一個(gè)自定義消息,通告我們的程序已經(jīng)完成裝載任務(wù),然后讓線程進(jìn)入死循環(huán)狀態(tài)。
步驟5當(dāng)我們的程序接受到了自定義消息后,就會再次掛起這個(gè)線程,把我們以前保存的線程的“上下文”用函數(shù)SetThreadContext恢復(fù),然后恢復(fù)運(yùn)行這個(gè)線程。結(jié)果是Explorer.exe絲毫沒有感覺到自己被中斷過。
以上就是我們所介紹的方法,讀者可以參考我們的源代碼來具體了解上述方法。源代碼的功能是將我們的DLL(InjectDll.dll)注入到Explorer.exe 中,在InjectDll.dll中我們創(chuàng)建了一個(gè)新的線程,然后在屏幕的左上角顯示當(dāng)前的時(shí)間。源代碼分為Win9x版本和Win2k版本,這兩個(gè)版本的主要差別是分配共享內(nèi)存的方法不同而已。源代碼已經(jīng)在PWn98,PwinMe,Win2k,WinXP等操作系統(tǒng)下,使用VC6編譯通過。
