概念
DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。从技术细节来说,DLL注入命令其他进程自行调用LoadLibrary() API,加载用户指定的DLL文件。DLL注入与一般DLL加载的区别在于,加载的目标进程是自身或其他进程。
可以简单理解为把你想执行的代码写在dll文件里,然后注入目标进程执行代码。
具体场景
dll的应用场景有很多,比如改善功能与修复bug,消息钩取,API钩取,恶意代码等场景,这里我将dll注入用于黑盒测试,方便理解dll注入的功能。
在一些比较复杂的程序里,特别是一些进行大量代码混淆的程序里,我们静态分析往往是很困难的,动态调试多种不同输入又十分耗时耗力,这种情况下黑盒测试就成了分析函数的好办法。
这里方便理解,我编写了一个特别简单的验证输入的程序:
main.c:
// clang -c main.c -o main.o
#include <stdio.h>
#include <stdlib.h>
int check(char n);
int main()
{
char string[10];
int answer[4] = {1, 2, 3, 4};
puts("plz input something:");
scanf("%s", string);
int i;
int result = 0;
for (i = 0; i < 4; i++)
{
if (check(string[i]) == answer[i])
{
continue;
}
else
{
result = 1;
break;
}
}
if (result)
{
puts("wrong!");
}
else
{
puts("right");
}
system("pause");
return 0;
}
check.c:
// clang -c -mllvm -fla check.c -o check.o
int check(char n){
if(n=='a'){
return 3;
}else if(n=='b'){
return 123;
}else if(n=='c'){
return 456;
}else if(n=='d'){
return 789;
}else if(n=='f'){
return 1;
}else if(n=='l'){
return 2;
}else if(n=='g'){
return 4;
}else{
return -1;
}
}
链接生成main.exe
clang main.o check.o -o main.exe
通过源码我们可以清晰的看出我们需要输入的字符串为flag,check函数依次验证字符f,l,a,g,返回1,2,3,4,与answer数组做比较后验证成功,输出right。
但是check函数进行了控制流平坦化混淆,我们用ida64打开最后生成的main.exe文件看一下。
主函数main:
可以看到主函数逻辑还是非常清晰正确的,我们接下来跟进check函数。
验证函数check:
—分割线—-
check函数变得特别长,上面是我随意截的两张图,可以看到由于平坦化的处理,此时的check函数原本的验证字符功能已经很难分析出来,但是我们通过check函数的参数和返回值猜测这就是一个验证字符的函数。
至于具体的功能我们就需要进行黑盒测试,也就是通过dll注入来搞清楚了。
dll注入
跟exe有个main或者WinMain入口函数一样,DLL也有一个入口函数,就是DllMain。当使用LoadLibrary函数加载DLL时,系统会调用DLL的入口点函数。
函数定义如下:
BOOL WINAPI DllMain(
_In_ HINSTANCE hinstDLL, // 指向自身的句柄
_In_ DWORD fdwReason, // 调用原因
_In_ LPVOID lpvReserved // 隐式加载和显式加载
);
接下来我们编写要注入的dll。
inject.c:
#include "pch.h"
#include <windows.h>
#include <stdio.h>
typedef int (*FUN)(char);
void printcheck()
{
// 获得基地址
HMODULE baseaddr = GetModuleHandle(NULL);
// 获得check函数地址
FUN check = (FUN)((uintptr_t)baseaddr + 0x16A0);
// printf("%llxn", (uintptr_t)baseaddr);
// 进行黑盒测试
int i;
for (i = 0; i < 256; i++)
{
printf("(%d, %d)n", i, check(i));
}
}
BOOL WINAPI DllMain(_In_ HINSTANCE hinstDLL, _In_ DWORD fdwReason, _In_ LPVOID lpvReserved)
{
puts("infect success!!");
printcheck();
return TRUE;
}
我这里是用vs2019编译的release版本x64程序。
当要注入dll被目标进程成功加载后,会调用DllMain,首先输出提示信息,然后调用printcheck函数。
在printcheck函数中,首先调用GetModuleHandle函数返回本模块的句柄,其实就是我们熟知的默认加载地址0x400000。
然后加上函数偏移,获得check函数的地址。函数偏移可以在ida的汇编窗口中查看:
最后就是一个256次循环对check函数进行黑盒测试。
注入
在网上下载dll注入工具进行注入,我用的是Xenos,这里附上GitHub链接。
可以看到注入后的结果:
我们可以获得一张check函数的传入参数,返回值的映射表,往下翻即可找到返回1,2,3,4所对应的输入:
前面的数字为正确字符flag对应的ASCII码。
至此,我们就通过dll注入实现了对check验证函数的黑盒测试,帮助我们快速的分析清楚了check函数的功能。
验证结果
我们重新运行程序,输入flag查看输出结果:
可以看到验证通过,输出right。
原理
实现dll注入的方法有很多,比如创建远程线程,使用注册表,消息钩取,替换原dll等。
这里简单介绍一下最常用的方法,通过创建远程线程,即使用CreateRemoteThread函数对运行中的进程注入dll。
大致的流程如下:
获取目标进程句柄
HANDLE hProcess = NULL;
//使用dwPID进程id获取目标进程句柄(然后控制进程)
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID);
将dll写入目标进程分配的内存中
HANDLE hProcess;
LPVOID pRemoteBuf = NULL;
DWORD dwBufSize;
// 在目标进程内存中分配dwBufSize大小的内存
pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);//返回值为分配所得缓冲区的地址(目标进程内存地址)
// 将dll写入分配的内存中
WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);
获取LoadLibraryW() API的地址
HMODULE hMod = NULL;
hMod = GetModuleHandle(L"kernel32.dll");
LPTHREAD_START_ROUTINE pThreadProc;
pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");
在进程中运行LoadLibraryW线程
HANDLE hProcess = NULL, hThread = NULL;
// 在进程中运行LoadLibraryW线程
hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
WaitForSingleObject(hThread, INFINITE); //等待hThread事件执行完毕
通常情况下利用好工具就可以实现我们想要的dll注入,不过学习原理能够帮助我们理解,同时一些重要的函数也是逆向学习过程中一定要积累的。
参考:
《逆向工程核心原理》书籍