进程注入的研究与实现(下)

进程注入的研究与实现(下)

5. 无DLL注入

   在第三中方法中，我们启动远程线程时，线程函数是我们从Kernel32.dll中取得的LoadLibrary函数的地址为线程函数的地址，其实我们可以直接将线程函数体和函数参数写入目标进程的地址空间，然后创建远程线程。

   使用这个方法时，需要注意以下几个问题：

   (1) 远程线程函数体不得使用kernel32.dll，user32.dll以外的函数。因为这个两个模块在各个进程的相对地址是一样的，如果一定要使用其它函数，则必须将函数体写入目标进程空间。

   (2) 不能使用任何字符串常量，因为字符串常量是存放在PE文件里.data这个段里面的，函数里保存的只是相对地址。

   (3) 去掉编译器的/GZ编译选项，这个选项是用来Enable Stack Frame Run-Time Error Checking。当这个选项打开时，编译器会在每个函数中加入一些代码，用来检验ESP在函数体中是否被改变，但是这些检验函数的地址在不同PE文件中有可能是不一样的。

   (4) 不得使用增量链接（incremental linking）。增量链接是编译器为了减少链接时间做的处理，把函数体用一个JMP指令代替，这样就可以随意改变函数的内容，而不用修改CALL指令。

   (5) 不要在函数体内使用超过4kb的局部变量。局部变量是存放在栈中的，例如下面这个函数

 void Dummy(void) {

     BYTE var[256];

     var[0] = 0;

     var[1] = 1;

     var[255] = 255;

 }

 在分配局部变量空间时是这样的

 :00401000   push ebp

 :00401001   mov  ebp, esp

 :00401003   sub  esp, 00000100           ; change ESP as storage for

                                          ; local variables is needed

 :00401006   mov  byte ptr [esp], 00      ; var[0] = 0;

 :0040100A   mov  byte ptr [esp+01], 01   ; var[1] = 1;

 :0040100F   mov  byte ptr [esp+FF], FF   ; var[255] = 255;

 :00401017   mov  esp, ebp                ; restore stack pointer

 :00401019   pop  ebp

 :0040101A   ret

 但是当局部变量的大小超过4kb时，栈指针并不直接改版，而是调用另一个函数来分配内存，这个函数有可能在不同进程中的地址不一样。

   (6) 函数体内switch语句中的case不要超过3个，否则编译器会在PE文件中使用跳转表，而这个跳转表有可能在目标进程中并不存在。

   下面是一个无DLL注入的例子：

//参数结构 ; 

typedef struct _RemotePara{ 
	PVOID dwMessageBox;
	wchar_t strMessageBox[12];
}RemotePara;
// 远程线程执行体
DWORD __stdcall ThreadProc(RemotePara *Para)
{
	typedef int (/*__stdcall*/ *PMessageBox) ( HWND , LPCTSTR , LPCTSTR , UINT );
	PMessageBox MessageBoxFunc = (PMessageBox)Para->dwMessageBox;
	MessageBoxFunc(NULL, Para->strMessageBox, Para->strMessageBox, MB_OK);
	return 0 ;
}
DWORD THREADSIZE=1024;
DWORD pID = 4688;
DWORD byte_write; 
HANDLE hRemoteProcess,hThread;
RemotePara myRemotePara,*pRemotePara; 
void *pRemoteThread;
HINSTANCE hUser32 ;
hRemoteProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pID); 
if(!hRemoteProcess)return 0; 
// 在远程进程地址空间分配虚拟内存
pRemoteThread = VirtualAllocEx(hRemoteProcess, 0, THREADSIZE, MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE);
if(!pRemoteThread)return 0; 
// 将线程执行体ThreadProc写入远程进程
if(!WriteProcessMemory(hRemoteProcess, pRemoteThread, &ThreadProc, THREADSIZE,0))return 0;
ZeroMemory(&myRemotePara,sizeof(RemotePara)); 
hUser32 = LoadLibrary(L"user32.dll");
myRemotePara.dwMessageBox = (PVOID)GetProcAddress(hUser32, "MessageBoxW"); 
wcscat(myRemotePara.strMessageBox,L"Hello!"); //复制MessageBox函数的参数
//写进目标进程 
pRemotePara =(RemotePara *)VirtualAllocEx (hRemoteProcess ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);
if(!pRemotePara)return 0; 
if(!WriteProcessMemory (hRemoteProcess ,pRemotePara,&myRemotePara,sizeof myRemotePara,0))return 0; 
// 启动线程 
hThread = CreateRemoteThread(hRemoteProcess ,0,0,(LPTHREAD_START_ROUTINE)pRemoteThread ,pRemotePara,0,&byte_write);
FreeLibrary(hUser32);
CloseHandle(hRemoteProcess);

 

参考文献：

http://www.codeproject.com/threads/winspy.asp?df=100&forumid=16291&select=1025152&msg=1025152#section_2

http://hi.baidu.com/sunshineboys/blog/item/828f4136c46534dda2cc2b35.html