远程线程注入是最常用的一种注入技术,在应用层注入是通过CreateRemoteThread这个函数实现的,该函数通过创建线程并调用 LoadLibrary 动态载入指定的DLL来实现注入,而在内核层同样存在一个类似的内核函数RtlCreateUserThread,但需要注意的是此函数未被公开,RtlCreateUserThread其实是对NtCreateThreadEx的包装,但最终会调用ZwCreateThread来实现注入,RtlCreateUserThreadCreateRemoteThread的底层实现。

基于LoadLibrary实现的注入原理可以具体分为如下几步;

  • 1.调用AllocMemory,在对端应用层开辟空间,函数封装来源于《内核远程堆分配与销毁》章节;
  • 2.调用MDLWriteMemory,将DLL路径字符串写出到对端内存,函数封装来源于《内核MDL读写进程内存》章节;
  • 3.调用GetUserModuleAddress,获取到kernel32.dll模块基址,函数封装来源于《内核远程线程实现DLL注入》章节;
  • 4.调用GetModuleExportAddress,获取到LoadLibraryW函数的内存地址,函数封装来源于《内核远程线程实现DLL注入》章节;
  • 5.最后调用本章封装函数MyCreateRemoteThread,将应用层DLL动态转载到进程内,实现DLL注入;

总结起来就是首先在目标进程申请一块空间,空间里面写入要注入的DLL的路径字符串或者是一段ShellCode,找到该内存中LoadLibrary的基址并传入到RtlCreateUserThread中,此时进程自动加载我们指定路径下的DLL文件。

注入依赖于RtlCreateUserThread这个未到处内核函数,该内核函数中最需要关心的参数是ProcessHandle用于接收进程句柄,StartAddress接收一个函数地址,StartParameter用于对函数传递参数,具体的函数原型如下所示;

typedef DWORD(WINAPI* pRtlCreateUserThread)(

    IN HANDLE                    ProcessHandle,          // 进程句柄

    IN PSECURITY_DESCRIPTOR      SecurityDescriptor,

    IN BOOL                      CreateSuspended,

    IN ULONG                     StackZeroBits,

    IN OUT PULONG                StackReserved,

    IN OUT PULONG                StackCommit,

    IN LPVOID                    StartAddress,          // 执行函数地址 LoadLibraryW

    IN LPVOID                    StartParameter,        // 参数传递

    OUT HANDLE                   ThreadHandle,          // 线程句柄

    OUT LPVOID                   ClientID

    );

由于我们加载DLL使用的是LoadLibraryW函数,此函数在运行时只需要一个参数,我们可以将DLL的路径传递进去,并调用LoadLibraryW以此来将特定模块拉起,该函数的定义规范如下所示;

HMODULE LoadLibraryW(

  [in] LPCWSTR lpLibFileName

);

根据上一篇文章中针对注入头文件lyshark.h的封装,本章将继续使用这个头文件中的函数,首先我们实现这样一个功能,将一段准备好的UCHAR字符串动态的写出到应用层进程内存,并以宽字节模式写出在对端内存中,这段代码可以写为如下样子;

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include "lyshark.h"

// 驱动卸载例程

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint("Uninstall Driver \n");

}

// 驱动入口地址

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("Hello LyShark \n");

	DWORD process_id = 7112;

	DWORD create_size = 1024;

	DWORD64 ref_address = 0;

	// 分配内存堆 《内核远程堆分配与销毁》 核心代码

	NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

	DbgPrint("对端进程: %d \n", process_id);

	DbgPrint("分配长度: %d \n", create_size);

	DbgPrint("[*] 分配内核堆基址: %p \n", ref_address);

	UCHAR DllPath[256] = "C:\\hook.dll";

	UCHAR Item[256] = { 0 };

	// 将字节转为双字

	for (int x = 0, y = 0; x < strlen(DllPath) * 2; x += 2, y++)

	{

		Item[x] = DllPath[y];

	}

	// 写出内存 《内核MDL读写进程内存》 核心代码

	ReadMemoryStruct ptr;

	ptr.pid = process_id;

	ptr.address = ref_address;

	ptr.size = strlen(DllPath) * 2;

	// 需要写入的数据

	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 循环设置

	for (int i = 0; i < ptr.size; i++)

	{

		ptr.data[i] = Item[i];

	}

	// 写内存

	MDLWriteMemory(&ptr);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

运行如上方所示的代码,将会在目标进程7112中开辟一段内存空间,并写出C:\hook.dll字符串,运行效果图如下所示;

此处你可以通过x64dbg附加到应用层进程内,并观察内存0000000002200000会看到如下字符串已被写出,双字类型则是每一个字符空一格,效果图如下所示;

继续实现所需要的子功能,实现动态获取Kernel32.dll模块里面LiadLibraryW这个导出函数的内存地址,这段代码相信你可以很容易的写出来,根据上节课的知识点我们可以二次封装一个GetProcessAddress来实现对特定模块基址的获取功能,如下是完整代码案例;

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include "lyshark.h"

// 实现取模块基址

PVOID GetProcessAddress(HANDLE ProcessID, PWCHAR DllName, PCCHAR FunctionName)

{

	PEPROCESS EProcess = NULL;

	NTSTATUS Status = STATUS_SUCCESS;

	KAPC_STATE ApcState;

	PVOID RefAddress = 0;

	// 根据PID得到进程EProcess结构

	Status = PsLookupProcessByProcessId(ProcessID, &EProcess);

	if (Status != STATUS_SUCCESS)

	{

		return Status;

	}

	// 判断目标进程是32位还是64位

	BOOLEAN IsWow64 = (PsGetProcessWow64Process(EProcess) != NULL) ? TRUE : FALSE;

	// 验证地址是否可读

	if (!MmIsAddressValid(EProcess))

	{

		return NULL;

	}

	// 将当前线程连接到目标进程的地址空间(附加进程)

	KeStackAttachProcess((PRKPROCESS)EProcess, &ApcState);

	__try

	{

		UNICODE_STRING DllUnicodeString = { 0 };

		PVOID BaseAddress = NULL;

		// 得到进程内模块基地址

		RtlInitUnicodeString(&DllUnicodeString, DllName);

		BaseAddress = GetUserModuleAddress(EProcess, &DllUnicodeString, IsWow64);

		if (!BaseAddress)

		{

			return NULL;

		}

		DbgPrint("[*] 模块基址: %p \n", BaseAddress);

		// 得到该函数地址

		RefAddress = GetModuleExportAddress(BaseAddress, FunctionName, EProcess);

		DbgPrint("[*] 函数地址: %p \n", RefAddress);

	}

	__except (EXCEPTION_EXECUTE_HANDLER)

	{

		return NULL;

	}

	// 取消附加

	KeUnstackDetachProcess(&ApcState);

	return RefAddress;

}

VOID Unload(PDRIVER_OBJECT pDriverObj)

{

	DbgPrint("[-] 驱动卸载 \n");

}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegPath)

{

	DbgPrint("Hello LyShark.com \n");

	// 取模块基址

	PVOID pLoadLibraryW = GetProcessAddress(5200, L"kernel32.dll", "LoadLibraryW");

	DbgPrint("[*] 所在内存地址 = %p \n", pLoadLibraryW);

	DriverObject->DriverUnload = Unload;

	return STATUS_SUCCESS;

}

编译并运行如上驱动代码,将自动获取PID=5200进程中Kernel32.dll模块内的LoadLibraryW的内存地址,输出效果图如下所示;

实现注入的最后一步就是调用自定义函数MyCreateRemoteThread该函数实现原理是调用RtlCreateUserThread开线程执行,这段代码的最终实现如下所示;

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include "lyshark.h"

// 定义函数指针

typedef PVOID(NTAPI* PfnRtlCreateUserThread)

(

	IN HANDLE ProcessHandle,

	IN PSECURITY_DESCRIPTOR SecurityDescriptor,

	IN BOOLEAN CreateSuspended,

	IN ULONG StackZeroBits,

	IN OUT size_t StackReserved,

	IN OUT size_t StackCommit,

	IN PVOID StartAddress,

	IN PVOID StartParameter,

	OUT PHANDLE ThreadHandle,

	OUT PCLIENT_ID ClientID

);

// 实现取模块基址

PVOID GetProcessAddress(HANDLE ProcessID, PWCHAR DllName, PCCHAR FunctionName)

{

	PEPROCESS EProcess = NULL;

	NTSTATUS Status = STATUS_SUCCESS;

	KAPC_STATE ApcState;

	PVOID RefAddress = 0;

	// 根据PID得到进程EProcess结构

	Status = PsLookupProcessByProcessId(ProcessID, &EProcess);

	if (Status != STATUS_SUCCESS)

	{

		return Status;

	}

	// 判断目标进程是32位还是64位

	BOOLEAN IsWow64 = (PsGetProcessWow64Process(EProcess) != NULL) ? TRUE : FALSE;

	// 验证地址是否可读

	if (!MmIsAddressValid(EProcess))

	{

		return NULL;

	}

	// 将当前线程连接到目标进程的地址空间(附加进程)

	KeStackAttachProcess((PRKPROCESS)EProcess, &ApcState);

	__try

	{

		UNICODE_STRING DllUnicodeString = { 0 };

		PVOID BaseAddress = NULL;

		// 得到进程内模块基地址

		RtlInitUnicodeString(&DllUnicodeString, DllName);

		BaseAddress = GetUserModuleAddress(EProcess, &DllUnicodeString, IsWow64);

		if (!BaseAddress)

		{

			return NULL;

		}

		DbgPrint("[*] 模块基址: %p \n", BaseAddress);

		// 得到该函数地址

		RefAddress = GetModuleExportAddress(BaseAddress, FunctionName, EProcess);

		DbgPrint("[*] 函数地址: %p \n", RefAddress);

	}

	__except (EXCEPTION_EXECUTE_HANDLER)

	{

		return NULL;

	}

	// 取消附加

	KeUnstackDetachProcess(&ApcState);

	return RefAddress;

}

// 远程线程注入函数

BOOLEAN MyCreateRemoteThread(ULONG pid, PVOID pRing3Address, PVOID PParam)

{

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	PEPROCESS pEProcess = NULL;

	KAPC_STATE ApcState = { 0 };

	PfnRtlCreateUserThread RtlCreateUserThread = NULL;

	HANDLE hThread = 0;

	__try

	{

		// 获取RtlCreateUserThread函数的内存地址

		UNICODE_STRING ustrRtlCreateUserThread;

		RtlInitUnicodeString(&ustrRtlCreateUserThread, L"RtlCreateUserThread");

		RtlCreateUserThread = (PfnRtlCreateUserThread)MmGetSystemRoutineAddress(&ustrRtlCreateUserThread);

		if (RtlCreateUserThread == NULL)

		{

			return FALSE;

		}

		// 根据进程PID获取进程EProcess结构

		status = PsLookupProcessByProcessId((HANDLE)pid, &pEProcess);

		if (!NT_SUCCESS(status))

		{

			return FALSE;

		}

		// 附加到目标进程内

		KeStackAttachProcess(pEProcess, &ApcState);

		// 验证进程是否可读写

		if (!MmIsAddressValid(pRing3Address))

		{

			return FALSE;

		}

		// 启动注入线程

		status = RtlCreateUserThread(ZwCurrentProcess(),

			NULL,

			FALSE,

			0,

			0,

			0,

			pRing3Address,

			PParam,

			&hThread,

			NULL);

		if (!NT_SUCCESS(status))

		{

			return FALSE;

		}

		return TRUE;

	}

	__finally

	{

		// 释放对象

		if (pEProcess != NULL)

		{

			ObDereferenceObject(pEProcess);

			pEProcess = NULL;

		}

		// 取消附加进程

		KeUnstackDetachProcess(&ApcState);

	}

	return FALSE;

}

VOID Unload(PDRIVER_OBJECT pDriverObj)

{

	DbgPrint("[-] 驱动卸载 \n");

}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegPath)

{

	DbgPrint("Hello LyShark.com \n");

	ULONG process_id = 5200;

	DWORD create_size = 1024;

	DWORD64 ref_address = 0;

	// -------------------------------------------------------

	// 取模块基址

	// -------------------------------------------------------

	PVOID pLoadLibraryW = GetProcessAddress(process_id, L"kernel32.dll", "LoadLibraryW");

	DbgPrint("[*] 所在内存地址 = %p \n", pLoadLibraryW);

	// -------------------------------------------------------

	// 应用层开堆

	// -------------------------------------------------------

	NTSTATUS Status = AllocMemory(process_id, create_size, &ref_address);

	DbgPrint("对端进程: %d \n", process_id);

	DbgPrint("分配长度: %d \n", create_size);

	DbgPrint("分配的内核堆基址: %p \n", ref_address);

	// 设置注入路径,转换为多字节

	UCHAR DllPath[256] = "C:\\lyshark_hook.dll";

	UCHAR Item[256] = { 0 };

	for (int x = 0, y = 0; x < strlen(DllPath) * 2; x += 2, y++)

	{

		Item[x] = DllPath[y];

	}

	// -------------------------------------------------------

	// 写出数据到内存

	// -------------------------------------------------------

	ReadMemoryStruct ptr;

	ptr.pid = process_id;

	ptr.address = ref_address;

	ptr.size = strlen(DllPath) * 2;

	// 需要写入的数据

	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 循环设置

	for (int i = 0; i < ptr.size; i++)

	{

		ptr.data[i] = Item[i];

	}

	// 写内存

	MDLWriteMemory(&ptr);

	// -------------------------------------------------------

	// 执行开线程函数

	// -------------------------------------------------------

	// 执行线程注入

	// 参数1:PID

	// 参数2:LoadLibraryW内存地址

	// 参数3:当前DLL路径

	BOOLEAN flag = MyCreateRemoteThread(process_id, pLoadLibraryW, ref_address);

	if (flag == TRUE)

	{

		DbgPrint("[*] 已完成进程 %d 注入文件 %s \n", process_id, DllPath);

	}

	DriverObject->DriverUnload = Unload;

	return STATUS_SUCCESS;

}

编译这段驱动程序,并将其放入虚拟机中,在C盘下面放置好一个名为lyshark_hook.dll文件,运行驱动程序将自动插入DLL到Win32Project进程内,输出效果图如下所示;

回到应用层进程,则可看到如下图所示的注入成功提示信息;

驱动开发:内核LoadLibrary实现DLL注入的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. 【Spring注解驱动开发】自定义组件如何注入Spring底层的组件?看了这篇我才真正理解了原理!!

    写在前面 最近,很多小伙伴出去面试都被问到了Spring问题,关于Spring,细节点很多,面试官也非常喜欢问一些很细节的技术点.所以,在 Spring 专题中,我们尽量把Spring的每个技术细节说 ...

  3. 行为驱动开发iOS <收藏>

    前段时间在design+code购买了一个学习iOS设计和编码在线课程,使用Sketch设计App,然后使用Swift语言实现Designer News客户端.作者Meng To已经开源到Github ...

  4. 驱动开发:内核枚举ShadowSSDT基址

    在笔者上一篇文章<驱动开发:Win10枚举完整SSDT地址表>实现了针对SSDT表的枚举功能,本章继续实现对SSSDT表的枚举,ShadowSSDT中文名影子系统服务描述表,SSSDT其主 ...

  5. 《Linux设备驱动开发具体解释(第3版)》(即《Linux设备驱动开发具体解释:基于最新的Linux 4.0内核》)网购链接

    <Linux设备驱动开发具体解释:基于最新的Linux 4.0内核> china-pub   spm=a1z10.3-b.w4011-10017777404.30.kvceXB&i ...

  6. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  7. 驱动开发:内核枚举LoadImage映像回调

    在笔者之前的文章<驱动开发:内核特征码搜索函数封装>中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核LoadImage映像回调,在Win64环境下我们可以设置一个 ...

  8. 驱动开发:内核监视LoadImage映像回调

    在笔者上一篇文章<驱动开发:内核注册并监控对象回调>介绍了如何运用ObRegisterCallbacks注册进程与线程回调,并通过该回调实现了拦截指定进行运行的效果,本章LyShark将带 ...

  9. 驱动开发:内核运用LoadImage屏蔽驱动

    在笔者上一篇文章<驱动开发:内核监视LoadImage映像回调>中LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载,注 ...

  10. Windows内核安全与驱动开发

    这篇是计算机中Windows Mobile/Symbian类的优质预售推荐<Windows内核安全与驱动开发>. 编辑推荐 本书适合计算机安全软件从业人员.计算机相关专业院校学生以及有一定 ...

随机推荐

  1. Go 语言 new 和 make 关键字的区别

    原文链接: Go 语言 new 和 make 关键字的区别 本篇文章来介绍一道非常常见的面试题,到底有多常见呢?可能很多面试的开场白就是由此开始的.那就是 new 和 make 这两个内置函数的区别. ...

  2. 每日复习关于static 饿汉式 懒汉式,单例设计模式

    1.1.static 的使用 当我们编写一个类时,其实就是在描述其对象的属性和行为,而并没有产生实质上的对象,只有通过 new 关键字才会产生出对象,这时系统才会分配内存空间给对象,其方法才可以供外部 ...

  3. [Android]ADB调试: SecurityException: Injecting to another application requires INJECT_EVENTS permission

    问题描述 使用ADB工具调试安卓设备时报此错误: C:\Users\Johnny>adb shell input text "Hello" java.lang.Securit ...

  4. 阿里巴巴建议这样遍历Map,今天就用几种方式做个比较一下看那种最好用

    ​今天不举例子了,问一句你开心吗?不开心也要记得把开心的事情放到快乐源泉小瓶子里,偶尔拿出来一一遍历看看. Map在我们Java程序员高频使用的一种数据结构,Map的遍历方式也有很多种,那那种方式比较 ...

  5. DG:windows密码文件

    问题描述:搭建DG,找不到密码文件的位置,就给备库重新生成了一个密码文件,传到了备库,但是拉到了备库以后,恢复过程中,trace日志在报错,后来才知道windows下的密码文件跟linux平台下的面文 ...

  6. 手动编写Swagger文档与部署指南

    Swagger介绍 在Web开发中,后端开发者在完成接口开发后,需要给前端相应的接口使用说明,所以一般会写一份API文档.一般来说,有两种方式提供API接口文档,一种是利用插件在代码中自动生成,另一种 ...

  7. 去中心化金融-Lec2

    Finance Finance is the process that involves the creation, management, and investment of money and f ...

  8. vue3组合式API介绍

    为什么要使用Composition API? 根据官方的说法,vue3.0的变化包括性能上的改进.更小的 bundle 体积.对 TypeScript 更好的支持.用于处理大规模用例的全新 API,全 ...

  9. JUC同步工具CountDownLatch

    CountDownLatch:允许一条或多条线程等待其它线程中的一组操作完成后再继续执行. 在探究CountDownLatch之前,我们知道Thread的join也有类似功能,先看thread的joi ...

  10. RTSP Server(LIVE555)源码分析(五)-PLAY信令

    主要分析RTSPServer::RTSPClientSession针对客户端PLAY事件处理 一. PLAY信令,handleCmd_withinSession源码解析 1)步骤1.03,当RTSP客 ...