2. 技术人生
    3. DLL注入 之线程劫持

    DLL注入 之线程劫持

    技术2022-05-11  15

      大家好,我是FISH ,以下代码只是属于思路,都是我自己KEY进去的,有错误很抱歉,我尽量注意,

     内容来自Greg hoglund 的<<exploiting online games>> .

        给应用程序注入新的代码,最常用的技巧是DLL注入,使用这个方法,可以让远线程加载到你自己

    设计的DLL. DLL本身的功能可以是挂钩函数,修改目标程序的内存空间,DLL注入是很隐藏,很方便的

    注入手段,(实际上,该方法很容易被发现,有不少常规方法可以发现注入的DLL).     DLL注入的技巧是让目标进程中已存在的一个线程跳到某个代码片段,该代码片段调用

    Loadlibiary 来加载模块,这样的思路有很多种实现方法. 比如:使用CreateRemoteThread创建

    新的远程线程,这里介绍的技巧没有创建新线程,而是劫持现有的线程进行加载操作.

       首先,需要将加载的DLL代码写到远程进程.定义代码如下:

     char InjectedcodePage[4096]= { 0xb8 ,00,00,00,00 //mov EAX,0h | Pointer to LoadlibraryA() (DWORD) 0xBB,00,00,00,00 //mov EBX,0h | DLLname to inject(DWORD) 0x53,   //push EBX 0xff, 0xD0, //call EAX 0x5b,  //pop ebx 0xcc    /int 3h //dll name string will be placed here }; int length_of_injection_code=15;

      上述代码有一些占位字节用来填充LoadlibraryA()和需要加载的DLL名指针地址.

    对于LoadLibraryA的地址,代码简单的假设被注入远程的LoadLibraryA地址和现在的进程地址相同

    作者没有遇到过不同的情况,所以假设这样做是安全的.[评: 实际上,目前对不少游戏这样操作不

    能得到正确的地址,原因是KERNEL32.dll]位置被移动了.]

     farproc loadlibproc=getprocaddress( getmodulehandle("kernel32.dll"), LoadLibraryA};

      对于dll名称,可以将DLL名直接写在上述的代码段之后,即代码中偏移为15的地方.下面要计算所有

    要用到的偏移.

     char *Dllname; Dword *EAX, *EBX;  DLLname=((char*)((dword)injectedcodepage +length_of_inject_code); Eax=(dowrd)(injectedcodepage+1); ebx=(dword)(injectedcodepage+6);

    这样就得到了两处占位字节序列的地址和将要填写的dll名地址. 需要将代码写到远端进程才能

    填写这几个地址,因为代码将要在远端执行,而不是本地.

     内嵌在代码段中的INT3指令用于和调试器交互,内嵌断点通知调试器,注入代码执行完毕

    现在不管这些,先了解一下如何查找dll代码位置.

      下面的代码,假设已经打开调试器并发送初始调试信号,如果该操作为附加操作,将会为初始

    断点事件创建线程.代码将劫持该线程并利用该线程运行注入的代码片段,在调试时间循环中,使用

    如下代码获取线程句柄.

     Hthread=fopenthread( thread_all_access, false, dbg_ent.dwthreadtd);

    记得使用句柄后关闭句柄

     dll名称为dll文件的全路径, hprocess为被调试的团段进程,hmodulebase可以从调试事件循环中

    获取,或者可以假定为0x400000 为基地址,(绝大多数情况都是这样).从调试时间循环获取的方法为:

     if (dbg_evt.dwdebugEventcode==create_process_debug_event) {  Hmodulebase=dng_evt.u.createprocessinfo.lpbaseofimage; }  注入的下一不走为定位远程进程的有效的可执行代码段. 这需要解析pe文件头,查找DOS头:

     res=readprocessmemory( hprocess, hmodulebase, &dosdhr, sizeof(doshdr), &read); if ((!res)||(read!=sizeof(doshdr))) { printf("could not get dos header/n"); return false; }  现在通过mz字符串检查文件是否为DOS头.

     if (doshdr.e_magic(!=image_dos_signature) { printf("could not find mz for dos header/n")' return false; }

     通过dos头信息查找nt头信息  //get nt header res=readprocessmemory( hprocess, (void*)((dword)hmodulebase+ &NThdr, sizeof(nthdr), &read); if (!res)||(READ!=sizeof(nyhdr))) printf("could not get nt header/n")'

    专利

    最新回复(0)