大家好,又见面了,我是你们的朋友全栈君。
伊始
安全与危险是共存的。如果我们了解危险的来源以及产生的过程,对于安全防护拥有很现实的意义。
本文主要介绍dll注入的方式,意在描述危险的来源,以及危险的执行的过程,以便于我们解决危险。
主体
这篇文章介绍2大类:
| 序号 | 方式 |
|---|---|
| 1 | 调用API |
| 2 | 直接修改源码 |
1.调用API
如果要实现注入,那么需要一个目标,一个DLL,一个注入程序。
原理:
代码的执行需要把代码写到内存中。因此我们就需要把我们的dll加载到内存中。但目前有几个困难。
困难:由于每个应用程序都有自己执行的空间-虚拟空间,我们需要把dll注入的目标空间才行。
- 我们应该如何找到目标空间呢?
- 如果找到目标空间,我们要怎么写入代码呢?
- 写入之后我们要如何执行呢?
需求产生了,那么请思考下如何做吧!
第一步:要找到目标空间,我们可以根据下面API函数打开目标程序,也就是找到了目标的“空间“所在位置。
打开进程操作
HANDLE WINAPI OpenProcess(
_In_ DWORD dwDesiredAccess,
_In_ BOOL bInheritHandle,
_In_ DWORD dwProcessId
);第二步:要想写入,需要有写入的位置吧。下面API函数帮我们开辟空间。
开辟内存操作
LPVOID WINAPI VirtualAllocEx(
_In_ HANDLE hProcess,
_In_opt_ LPVOID lpAddress,
_In_ SIZE_T dwSize,
_In_ DWORD flAllocationType,
_In_ DWORD flProtect
);第三步:我们需要写入一些东西,但是我们写入什么呢?要调用dll,最起码也需要知道dll的位置和名称吧。因此,我们需要把dll的路径和名字写入到内存中。写入一些程序中用到API函数
内存写入操作
BOOL WINAPI WriteProcessMemory(
_In_ HANDLE hProcess,
_In_ LPVOID lpBaseAddress,
_In_reads_bytes_(nSize) LPCVOID lpBuffer,
_In_ SIZE_T nSize,
_Out_opt_ SIZE_T * lpNumberOfBytesWritten
);第四步:我们要如何调用这个dll呢?当然我们需要使用API函数来调用我们的DLL呢。虽然我们写入了dll路径和名字,但还木有加载到内存中呢。因此我们创建一个远程线程。并让远程线程执行,调用我们dll的API函数。
(注:调用我们DLL的API)
调用dll的API函数
HMODULE WINAPI GetModuleHandleW(
_In_opt_ LPCWSTR lpModuleName
);可以获取调用DLL函数的的API的函数地址
FARPROC WINAPI GetProcAddress(
_In_ HMODULE hModule,
_In_ LPCSTR lpProcName
);————————————–分界点———————–
接下来 我们可以采用两种方式来让加载我们的dll。
第一种方式:创建远程线程。
创建远程线程的API
HANDLE WINAPI CreateRemoteThread(
_In_ HANDLE hProcess,
_In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
_In_ SIZE_T dwStackSize,
_In_ LPTHREAD_START_ROUTINE lpStartAddress,
_In_opt_ LPVOID lpParameter,
_In_ DWORD dwCreationFlags,
_Out_opt_ LPDWORD lpThreadId
);第二种方式:采用APC队列
打开目标线程
HANDLE WINAPI OpenThread(
_In_ DWORD dwDesiredAccess,
_In_ BOOL bInheritHandle,
_In_ DWORD dwThreadId
);
为APC队列添加我们要执行的API函数
DWORD WINAPI QueueUserAPC(
_In_ PAPCFUNC pfnAPC,
_In_ HANDLE hThread,
_In_ ULONG_PTR dwData
);以上两种方式都可以。
安全与防护:
到底是什么方式,注入了我们的dll呢?
我们按照从最后往开始一点点的看(动态规划)。
- 加载DLL,需要开辟线程和加入APC队列的一些API一些东西导致的?
- 加载前,需要向目标空间写入一些东西?
- 写入前,需要向目标空间开辟内存?
- 开辟内存前需要获取目标程序空间?
我们发现上面,只要有一个步骤中断了,就实现不了呢。
为了不同应用程序间的交互,我们要以最小的代价来实现我们的目标!!!
(注:一些恶意代码,有可能不是为了注入,有可能就是为了破坏。)
- 假如其他程序打开了我们的“空间” ,这步只是存在潜在危险,没有实质的,而且,我们自身的应用程序也需要用。先看下面的吧。
- 假如其他全程序开辟了虚拟内存,这步竟然,向我们应用程序中要内存了,如果恶意代码疯狂的开辟,怎么办?危险指数高,与1相比,我们要处理掉这个开辟内存,在往下看
- 内存写数据,我们自身应用程序也需要写内存。
- 获取API函数地址的API函数,我们应用程序中也需要调用dll呢。
- 创建线程和APC队列,我们自己应用程序也需要用呢。
思考:为了采取最小的代价,我们只要解决开辟内存这个API函数,就能得到实际的效果,毕竟执行链断了嘛。
umm,那么我们应该如何做呢?
思考一:能不能不让他人使用对我们的应用程序执行成功这个函数?是的,我们可以HOOK住这个API.这个API,仅仅我们自己调用ok,其他程序调用,我们就给他返回NULL。可以采用用户级和驱动级别的APIhook。
思考2:能不能区分出是我们调用的,还是其他程序调用的呢?可以。我们可以采用一个专门结构,用来管理我们自己调用API.不是我们应用程序的,全部杀死。umm,这个倒是可行,但是需要一定的开销。
以上解决方案不一定要用,应用程序的领域不同,是否一定需要是不一定,因此还需要以实际情况为主。
直接修改源码
如果要实现注入,那么需要一个目标,一个DLL,一个修改源码的程序。
原理:直接修改应用程序的二进制文件,达到注入的目的。
困难:计算机执行时根据二进制代码0-1执行的,因此我们需要修改的是不同位置的0-1数据。要修改前,需要了解可执行文件的内部构造PE结构,了解汇编代码并转为机器码。
- 我们要修改哪些位置?
- 我们要修改的数据是什么?
需求产生了,那么请思考下如何做吧!
第一步:找到导入目录表的位置、插入函数名的位置、插入函数名称地址表的位置、实际函数地址的位置和引用数据的位置、修改数据目录中导入表大小的位置,还有插入数据节的大小的位置。
导入目录表
函数真实地址表
函数名地址表
函数名与dll名表
节点大小
数据目录表大小
第二步:我们要修改的数据有哪些?
- 数据目录表中导入目录的大小需要改。
- 导入目录表中要增加一项,我们导入dll信息。
- 插入函数名,dll名,函数真实地址和函数名称地址。
- 修改节点大小。
(注:这里只注入了dll,加壳代码未加)
安全与防护:
到地址什么原因导致了dll被加载呢?
我们一步步深入的了解下(贪心算法)
1. 在用户的计算机有一份目标程序的程序,这段程序被其他程序二进制化,然后,直接修改了其中的二进制数据。是目标应用程序发生了改变。
2. 我们发现是我们的目标程序处于不安全的环境中,被恶意的篡改了。也就是有可能加了一层壳。也就是说,这个涉及到了,当应用程序处于危险的环境中,应用程序如何自动识别,是否加了壳,是否含有非法操作。这是一个复杂的安全性问题。
思考:如何解决危险环境的带来的问题。
思考1:被修改前如何做?
不让出现危险的环境,这个或许很难做到,除非客户端电脑受到全面的监控,软件使用者需要共同维护安全环境。
思考2:被修改后如何做?
umm,当联网时,可以采用联机校验,本地信息,如果断网了怎么办?有一些程序,是断网也可以运行的。这就涉及到了是否被加壳的算法,方法有很多,有基于更新机的验证的,也有基于生成可执行文件内部构造的验证的,这里不细谈。
结束语
作为使用者,我们要保证我们的环境是安全的。作为软件开发者,要假想如果不处于安全环境下,该如何保证软件的使用安全。让我们共同携手维护互联网安全。
小伙伴们的赞,是我编写干货的鼓励,请不要吝啬哦,让我们共同进步!
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/145740.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...