DLL注入与安全

DLL注入与安全伊始  安全与危险是共存的。如果我们了解危险的来源以及产生的过程,对于安全防护拥有很现实的意义。  本文主要介绍dll注入的方式,意在描述危险的来源,以及危险的执行的过程,以便于我们解决危险。主体这篇文章介绍2大类:序号方式1调用API2直接修改源码1.调用API  如果要实现注入,那么需要一个目标,一个DLL,一个注入程序。原理:  代码的执行…

大家好,又见面了,我是你们的朋友全栈君。

伊始

  安全与危险是共存的。如果我们了解危险的来源以及产生的过程,对于安全防护拥有很现实的意义。
  本文主要介绍dll注入的方式,意在描述危险的来源,以及危险的执行的过程,以便于我们解决危险。

主体

这篇文章介绍2大类:

序号 方式
1 调用API
2 直接修改源码

1.调用API

  如果要实现注入,那么需要一个目标,一个DLL,一个注入程序。

原理:
  代码的执行需要把代码写到内存中。因此我们就需要把我们的dll加载到内存中。但目前有几个困难。
困难:由于每个应用程序都有自己执行的空间-虚拟空间,我们需要把dll注入的目标空间才行

  1. 我们应该如何找到目标空间呢?
  2. 如果找到目标空间,我们要怎么写入代码呢?
  3. 写入之后我们要如何执行呢?

需求产生了,那么请思考下如何做吧!

第一步:要找到目标空间,我们可以根据下面API函数打开目标程序,也就是找到了目标的“空间“所在位置。

打开进程操作
HANDLE WINAPI OpenProcess(
    _In_ DWORD dwDesiredAccess,
    _In_ BOOL bInheritHandle,
    _In_ DWORD dwProcessId
    );

第二步:要想写入,需要有写入的位置吧。下面API函数帮我们开辟空间。

开辟内存操作
LPVOID WINAPI VirtualAllocEx(
    _In_ HANDLE hProcess,
    _In_opt_ LPVOID lpAddress,
    _In_ SIZE_T dwSize,
    _In_ DWORD flAllocationType,
    _In_ DWORD flProtect
    );

第三步:我们需要写入一些东西,但是我们写入什么呢?要调用dll,最起码也需要知道dll的位置和名称吧。因此,我们需要把dll的路径和名字写入到内存中。写入一些程序中用到API函数

内存写入操作
BOOL WINAPI WriteProcessMemory(
    _In_ HANDLE hProcess,
    _In_ LPVOID lpBaseAddress,
    _In_reads_bytes_(nSize) LPCVOID lpBuffer,
    _In_ SIZE_T nSize,
    _Out_opt_ SIZE_T * lpNumberOfBytesWritten
    );

第四步:我们要如何调用这个dll呢?当然我们需要使用API函数来调用我们的DLL呢。虽然我们写入了dll路径和名字,但还木有加载到内存中呢。因此我们创建一个远程线程。并让远程线程执行,调用我们dll的API函数。
(注:调用我们DLL的API)

调用dll的API函数
HMODULE WINAPI GetModuleHandleW(
    _In_opt_ LPCWSTR lpModuleName
    );
可以获取调用DLL函数的的API的函数地址
FARPROC WINAPI GetProcAddress(
    _In_ HMODULE hModule,
    _In_ LPCSTR lpProcName
    );

————————————–分界点———————–
接下来 我们可以采用两种方式来让加载我们的dll。

第一种方式:创建远程线程。

创建远程线程的API
HANDLE WINAPI CreateRemoteThread(
    _In_ HANDLE hProcess,
    _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
    _In_ SIZE_T dwStackSize,
    _In_ LPTHREAD_START_ROUTINE lpStartAddress,
    _In_opt_ LPVOID lpParameter,
    _In_ DWORD dwCreationFlags,
    _Out_opt_ LPDWORD lpThreadId
    );

第二种方式:采用APC队列

打开目标线程
HANDLE WINAPI OpenThread(
    _In_ DWORD dwDesiredAccess,
    _In_ BOOL bInheritHandle,
    _In_ DWORD dwThreadId
    );
为APC队列添加我们要执行的API函数
DWORD WINAPI QueueUserAPC(
    _In_ PAPCFUNC pfnAPC,
    _In_ HANDLE hThread,
    _In_ ULONG_PTR dwData
    );

以上两种方式都可以。
安全与防护:
到底是什么方式,注入了我们的dll呢?
我们按照从最后往开始一点点的看(动态规划)。

  1. 加载DLL,需要开辟线程和加入APC队列的一些API一些东西导致的?
  2. 加载前,需要向目标空间写入一些东西?
  3. 写入前,需要向目标空间开辟内存?
  4. 开辟内存前需要获取目标程序空间?

我们发现上面,只要有一个步骤中断了,就实现不了呢。

为了不同应用程序间的交互,我们要以最小的代价来实现我们的目标!!!
(注:一些恶意代码,有可能不是为了注入,有可能就是为了破坏。)

  1. 假如其他程序打开了我们的“空间” ,这步只是存在潜在危险,没有实质的,而且,我们自身的应用程序也需要用。先看下面的吧。
  2. 假如其他全程序开辟了虚拟内存,这步竟然,向我们应用程序中要内存了,如果恶意代码疯狂的开辟,怎么办?危险指数高,与1相比,我们要处理掉这个开辟内存,在往下看
  3. 内存写数据,我们自身应用程序也需要写内存。
  4. 获取API函数地址的API函数,我们应用程序中也需要调用dll呢。
  5. 创建线程和APC队列,我们自己应用程序也需要用呢。

  思考:为了采取最小的代价,我们只要解决开辟内存这个API函数,就能得到实际的效果,毕竟执行链断了嘛。
umm,那么我们应该如何做呢?
  思考一:能不能不让他人使用对我们的应用程序执行成功这个函数?是的,我们可以HOOK住这个API.这个API,仅仅我们自己调用ok,其他程序调用,我们就给他返回NULL。可以采用用户级和驱动级别的APIhook。

  思考2:能不能区分出是我们调用的,还是其他程序调用的呢?可以。我们可以采用一个专门结构,用来管理我们自己调用API.不是我们应用程序的,全部杀死。umm,这个倒是可行,但是需要一定的开销。

以上解决方案不一定要用,应用程序的领域不同,是否一定需要是不一定,因此还需要以实际情况为主。

直接修改源码

  如果要实现注入,那么需要一个目标,一个DLL,一个修改源码的程序。
原理:直接修改应用程序的二进制文件,达到注入的目的。
困难:计算机执行时根据二进制代码0-1执行的,因此我们需要修改的是不同位置的0-1数据。要修改前,需要了解可执行文件的内部构造PE结构,了解汇编代码并转为机器码。

  1. 我们要修改哪些位置?
  2. 我们要修改的数据是什么?

需求产生了,那么请思考下如何做吧!

第一步:找到导入目录表的位置、插入函数名的位置、插入函数名称地址表的位置、实际函数地址的位置和引用数据的位置、修改数据目录中导入表大小的位置,还有插入数据节的大小的位置。

导入目录表在这里插入图片描述
函数真实地址表在这里插入图片描述
函数名地址表在这里插入图片描述
函数名与dll名表在这里插入图片描述

节点大小在这里插入图片描述

数据目录表大小在这里插入图片描述
第二步:我们要修改的数据有哪些?

  1. 数据目录表中导入目录的大小需要改。
  2. 导入目录表中要增加一项,我们导入dll信息。
  3. 插入函数名,dll名,函数真实地址和函数名称地址。
  4. 修改节点大小。

(注:这里只注入了dll,加壳代码未加)

安全与防护:
  到地址什么原因导致了dll被加载呢?
  我们一步步深入的了解下(贪心算法)

  1. 在用户的计算机有一份目标程序的程序,这段程序被其他程序二进制化,然后,直接修改了其中的二进制数据。是目标应用程序发生了改变。
  2. 我们发现是我们的目标程序处于不安全的环境中,被恶意的篡改了。也就是有可能加了一层壳。也就是说,这个涉及到了,当应用程序处于危险的环境中,应用程序如何自动识别,是否加了壳,是否含有非法操作。这是一个复杂的安全性问题。

  思考:如何解决危险环境的带来的问题。

  思考1:被修改前如何做?
  不让出现危险的环境,这个或许很难做到,除非客户端电脑受到全面的监控,软件使用者需要共同维护安全环境。
  思考2:被修改后如何做?
  umm,当联网时,可以采用联机校验,本地信息,如果断网了怎么办?有一些程序,是断网也可以运行的。这就涉及到了是否被加壳的算法,方法有很多,有基于更新机的验证的,也有基于生成可执行文件内部构造的验证的,这里不细谈。

结束语

作为使用者,我们要保证我们的环境是安全的。作为软件开发者,要假想如果不处于安全环境下,该如何保证软件的使用安全。让我们共同携手维护互联网安全。

小伙伴们的赞,是我编写干货的鼓励,请不要吝啬哦,让我们共同进步!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/145740.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 怎么查看webpack版本_webpack项目目录结构

    怎么查看webpack版本_webpack项目目录结构1.在项目的package.json文件,里面的scripts脚本命令中添加:“webpack”:“webpack–version””scripts”:{“webpack”:”webpack–version”},然后在启动项目时用npmrunwebpack

  • java中scanner意思_java中Scanner s = new Scanner(System.in);分别是什么意思?「建议收藏」

    java中scanner意思_java中Scanner s = new Scanner(System.in);分别是什么意思?「建议收藏」展开全部Scanner是一个类,nextDouble()是Scanner的成员函数,System.in作为参数传递给Scanner的构造函数,使Scanner用62616964757a686964616fe78988e69d8331333366303839键盘作为输入,然后用new在内存中实例化一个Scanner出来,使得其它变量能调用这块内存区。Scanner类简介:Java5添加了java….

  • 迅雷的远程下载_迅雷下载网页

    迅雷的远程下载_迅雷下载网页-100网络连接超时点击重试或暂停/开启任务尝试解决。3设备响应超时请彻底删除该任务,重新下载。4服务器内部错误请彻底删除该任务,重新下载。5读写文件失败1:检测磁盘剩余空间;2:检测磁盘是否可读写;3:拔下硬盘连接PC修复硬盘文件,然后重新接上硬盘;4:上述方法无效的情况下,请联系客服28设备空间不足1:检测磁盘剩余空间;2:检测磁盘是否可读写;3:拔下硬盘连接PC修复硬盘文件,然后重新接上硬盘…

    2022年10月23日
  • 梯度下降算法原理讲解——机器学习「建议收藏」

    梯度下降算法原理讲解——机器学习「建议收藏」详细来讲讲梯度下降算法的原理,感受数学和程序的魅力吧!!

  • 下载pycharm安装教程_tc简单程序开发工具教程

    下载pycharm安装教程_tc简单程序开发工具教程Pycharm可以说是一款进行Python开发功能强大的编辑器。鉴于近期很少有关最新版本的Pycharm安装教程,为了能够帮助刚刚学习Python的朋友们。宋宋老师又给大家准备了一版,会介绍Pycharm的安装和注意事项,希望能够在大家学习Python的道路上起到一点微薄之力。文章分为四部分: Pycharm简介 Pycharm下载 Pycharm安装 Pycharm配置 Pycharm简介PyCharm是由JetBrains打造的一款PythonIDE,J

  • 一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD「建议收藏」

    一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD「建议收藏」一文读懂目标检测:R-CNN、FastR-CNN、FasterR-CNN、YOLO、SSD前言之前我所在的公司七月在线开设的深度学习等一系列课程经常会讲目标检测,包括R-CNN、FastR-CNN、FasterR-CNN,但一直没有比较好的机会深入(但当你对目标检测有个基本的了解之后,再看这些课程你会收益很大)。但目标检测这个领域实在是太火了,经常会看到一些写的不…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号