Windowsx86/x64Ring3层注入Dll总结资源-CSDN文库

40 浏览量 2020-09-30 12:15:21 上传评论收藏 155KB PDF 举报

【Windows x86/x64 Ring3层注入Dll总结】在Windows操作系统中，Ring3层指的是用户模式，这是应用程序运行的层次。Dll注入是一种技术，它允许一个进程将自己的代码（通常是一个动态链接库，Dll）注入到另一个进程中，从而影响其行为。这种技术在调试、监控、性能分析和恶意软件中都有应用。本文将总结Windows x86和x64平台上进行Ring3层Dll注入的主要方法。 0x01. 前言 Dll注入可以通过多种方式实现，包括但不限于： 1. **创建新线程**：在目标进程中创建新的线程，并在其上下文中执行Dll的入口点。 2. **设置线程上下文**：修改线程的寄存器状态，使得线程执行时加载指定的Dll。 3. **插入Apc队列**：利用异步过程调用（Asynchronous Procedure Call, APC），在目标进程的上下文中执行Dll的代码。 4. **修改注册表**：通过修改注册表中的相关键值，使目标进程在启动时加载指定的Dll。 5. **挂钩窗口消息**：通过Hook技术，捕获和处理特定的消息，以实现Dll的注入。 6. **远程手动实现LoadLibrary**：直接在目标进程的地址空间中模拟调用LoadLibrary函数，加载Dll。 0x02. 预备工作在进行Dll注入之前，往往需要提升当前进程的权限，以便能够访问和操作目标进程。这里介绍了两种权限提升方法： 1. **通过权限令牌调整权限**：使用OpenThreadToken或OpenProcessToken函数获取权限令牌，然后调用AdjustTokenPrivileges函数启用SE_DEBUG_NAME权限。 2. **使用RtlAdjustPrivilege**：调用ntdll.dll中的未公开函数RtlAdjustPrivilege来启用所需的特权。此外，还需要获取目标进程的Id。有两种常见方法： 1. **使用TlHelp32**：通过CreateToolhelp32Snapshot和Process32First/Next函数创建进程快照并遍历，找到目标进程的Id。 2. **使用Psapi**：通过EnumProcesses和EnumProcessModules函数枚举进程，但需要注意的是，这种方法在32位进程中无法获取64位进程的Id。 0x03. 注入方法详解 **1. 创建新线程注入** 在目标进程中创建新的线程，并在ThreadStartRoutine中调用LoadLibrary或GetProcAddress，将Dll加载到目标进程的地址空间。 **2. 设置线程上下文注入** 使用SetThreadContext函数修改线程的上下文，改变EIP（x86）或RIP（x64）寄存器，使其指向DllMain的入口点。 **3. 插入Apc队列注入** 通过QueueUserAPC函数将自定义的APC函数插入到目标进程的线程队列中，当线程变为可调度状态时，APC函数会被执行，此时加载Dll。 **4. 修改注册表注入** 修改HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER下的Software\Microsoft\Windows\CurrentVersion\Run等键值，使目标进程在启动时加载指定Dll。 **5. 挂钩窗口消息注入** 使用SetWindowsHookEx函数设置全局或本地钩子，捕获特定消息（如 WM_CREATE 或 WM_GETMINMAXINFO），在钩子回调函数中加载Dll。 **6. 远程手动实现LoadLibrary注入** 通过VirtualAllocEx和WriteProcessMemory函数在目标进程中分配内存并写入LoadLibrary函数的机器码，然后创建远程线程执行这段代码，实现Dll的加载。 0x04. 结论 Dll注入是Windows编程中一种复杂但强大的技术，它可以实现跨进程通信、调试和监控。然而，滥用此技术可能会导致安全问题，因此在实际应用中需谨慎处理。理解并掌握各种注入方法对于系统级编程和安全分析至关重要。

资源推荐

资源详情

资源评论

Windows x86/ x64 Ring3层注入层注入Dll总结总结

主要介绍了Windows x86/ x64 Ring3层注入Dll总结的相关资料,需要的朋友可以参考下

0x01.前言前言

　　提到Dll的注入，立马能够想到的方法就有很多，比如利用远程线程、Apc等等，这里我对Ring3层的Dll注入学习做一个总结吧。

　　我把注入的方法分成六类，分别是：1.创建新线程、2.设置线程上下背景文，修改寄存器、3.插入Apc队列、4.修改注册表、5.挂钩窗口消息、6.远程手动实现

LoadLibrary。

　　那么下面就开始学习之旅吧！

0x02.预备工作预备工作

　　在涉及到注入的程序中，提升程序的权限自然是必不可少的，这里我提供了两个封装的函数，都可以用于提权。第一个是通过权限令牌来调整权限；第二个是通过

ntdll.dll的导出的未文档化函数RtlAdjustPrivilege来调整权限。

// 传入参数 SE_DEBUG_NAME，提升到调试权限

BOOL GrantPriviledge(WCHAR* PriviledgeName)

{

TOKEN_PRIVILEGES TokenPrivileges, OldPrivileges;

DWORD dwReturnLength = sizeof(OldPrivileges);

HANDLE TokenHandle = NULL;

LUID uID;

// 打开权限令牌

if (!OpenThreadToken(GetCurrentThread(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, FALSE, &TokenHandle))

{

if (GetLastError() != ERROR_NO_TOKEN)

{

return FALSE;

}

if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle))

{

return FALSE;

}

if (!LookupPrivilegeValue(NULL, PriviledgeName, &uID)) // 通过权限名称查找uID

{

CloseHandle(TokenHandle);

return FALSE;

}

TokenPrivileges.PrivilegeCount = 1; // 要提升的权限个数

TokenPrivileges.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; // 动态数组，数组大小根据Count的数目

TokenPrivileges.Privileges[0].Luid = uID;

// 在这里我们进行调整权限

if (!AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges, sizeof(TOKEN_PRIVILEGES), &OldPrivileges, &dwReturnLength))

{

CloseHandle(TokenHandle);

return FALSE;

}

// 成功了

CloseHandle(TokenHandle);

return TRUE;

}

　　紧接着，既然我们要对目标进程注入Dll，那么获得目标进程的Id是不可或缺的吧，因为OpenProcess是肯定会使用的，这里我也提供了两种通过目标进程映像名称

获得进程Id的方法。第一种是最常见的使用TlHelp创建系统的进程快照；第二种是借助Psapi枚举系列函数，不过这个方法我实现的有缺憾，32位下不能得到64位进程

的Id。

// 使用ToolHelp系列函数

#include <TlHelp32.h>

BOOL GetProcessIdByProcessImageName(IN PWCHAR wzProcessImageName, OUT PUINT32 ProcessId)

{

HANDLE ProcessSnapshotHandle = INVALID_HANDLE_VALUE;

PROCESSENTRY32 ProcessEntry32 = { 0 };

ProcessEntry32.dwSize = sizeof(PROCESSENTRY32); // 初始化PROCESSENTRY32结构

ProcessSnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); // 给系统所有的进程快照

if (ProcessSnapshotHandle == INVALID_HANDLE_VALUE)

{

return FALSE;

}

if (Process32First(ProcessSnapshotHandle, &ProcessEntry32)) // 找到第一个

{

if (lstrcmpi(ProcessEntry32.szExeFile, wzProcessImageName) == 0) // 不区分大小写

{

*ProcessId = ProcessEntry32.th32ProcessID;

break;

}

} while (Process32Next(ProcessSnapshotHandle, &ProcessEntry32));

}

CloseHandle(ProcessSnapshotHandle);

ProcessSnapshotHandle = INVALID_HANDLE_VALUE;

if (*ProcessId == 0)

{

return FALSE;

}

return TRUE;

}

// 使用Psapi系列枚举函数

#include <Psapi.h>

BOOL GetProcessIdByProcessImageName(IN PWCHAR wzProcessImageName, OUT PUINT32 ProcessId)

{

DWORD dwProcessesId[1024] = { 0 };

DWORD BytesReturned = 0;

UINT32 ProcessCount = 0;

// 获得当前操作系统中的所有进程Id，保存在dwProcessesId数组里

if (!EnumProcesses(dwProcessesId, sizeof(dwProcessesId), &BytesReturned))

{

return FALSE;

}

ProcessCount = BytesReturned / sizeof(DWORD);

// 遍历

for (INT i = 0; i < ProcessCount; i++)

{

HMODULE ModuleBase = NULL;

WCHAR wzModuleBaseName[MAX_PATH] = { 0 };

HANDLE ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessesId[i]);

if (ProcessHandle == NULL)

{

continue;

}

if (EnumProcessModulesEx(ProcessHandle, &ModuleBase, sizeof(HMODULE), &BytesReturned, LIST_MODULES_ALL))

{

// 获得进程第一模块名称

GetModuleBaseName(ProcessHandle, ModuleBase, wzModuleBaseName, MAX_PATH * sizeof(WCHAR));

}

CloseHandle(ProcessHandle);

ProcessHandle = NULL;

if (lstrcmpi(wzModuleBaseName, wzProcessImageName) == 0) // 不区分大小写

{

*ProcessId = dwProcessesId[i];

break;

}

if (*ProcessId == 0)

{

return FALSE;

}

return TRUE;

}

　　然后在比如插入Apc队列、挂起线程等等操作中，需要对目标进程的线程操作，所以获得线程Id也有必要，同样的我也提供了两种通过进程Id获得线程Id的方法。

第一个仍然是使用TlHelp创建系统的线程快照，把所有的线程存入vector模板里（供Apc注入使用）；第二个是利用ZwQuerySystemInformation大法，枚举系统进程信

息，这个方法我只返回了一个线程Id，已经够用了。

// 枚举指定进程Id的所有线程，压入模板中

#include <vector>

#include <TlHelp32.h>

using namespace std;

BOOL GetThreadIdByProcessId(IN UINT32 ProcessId, OUT vector<UINT32>& ThreadIdVector)

{

HANDLE ThreadSnapshotHandle = NULL;

THREADENTRY32 ThreadEntry32 = { 0 };

ThreadEntry32.dwSize = sizeof(THREADENTRY32);

ThreadSnapshotHandle = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); // 给系统所有的线程快照

if (ThreadSnapshotHandle == INVALID_HANDLE_VALUE)

{

return FALSE;

}

if (Thread32First(ThreadSnapshotHandle, &ThreadEntry32))

{

if (ThreadEntry32.th32OwnerProcessID == ProcessId)

{

ThreadIdVector.emplace_back(ThreadEntry32.th32ThreadID); // 把该进程的所有线程id压入模板

}

} while (Thread32Next(ThreadSnapshotHandle, &ThreadEntry32));

}

CloseHandle(ThreadSnapshotHandle);

ThreadSnapshotHandle = NULL;

return TRUE;

}

// ZwQuerySystemInformation+SystemProcessInformation

typedef

NTSTATUS(NTAPI * pfnZwQuerySystemInformation)(

IN SYSTEM_INFORMATION_CLASS SystemInformationClass,

OUT PVOID SystemInformation,

IN UINT32 SystemInformationLength,

OUT PUINT32 ReturnLength OPTIONAL);

BOOL GetThreadIdByProcessId(IN UINT32 ProcessId, OUT PUINT32 ThreadId)

{

BOOL bOk = FALSE;

NTSTATUS Status = 0;

PVOID BufferData = NULL;

PSYSTEM_PROCESS_INFO spi = NULL;

pfnZwQuerySystemInformation ZwQuerySystemInformation = NULL;

ZwQuerySystemInformation = (pfnZwQuerySystemInformation)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "ZwQuerySystemInformation");

if (ZwQuerySystemInformation == NULL)

{

return FALSE;

}

BufferData = malloc(1024 * 1024);

if (!BufferData)

{

return FALSE;

}

// 在QuerySystemInformation系列函数中，查询SystemProcessInformation时，必须提前申请好内存，不能先查询得到长度再重新调用

Status = ZwQuerySystemInformation(SystemProcessInformation, BufferData, 1024 * 1024, NULL);

if (!NT_SUCCESS(Status))

{

free(BufferData);

return FALSE;

}

spi = (PSYSTEM_PROCESS_INFO)BufferData;

// 遍历进程，找到我们的目标进程

while (TRUE)

{

bOk = FALSE;

if (spi->UniqueProcessId == (HANDLE)ProcessId)

{

bOk = TRUE;

break;

}

else if (spi->NextEntryOffset)

{

spi = (PSYSTEM_PROCESS_INFO)((PUINT8)spi + spi->NextEntryOffset);

}

else

{

break;

}

if (bOk)

{

for (INT i = 0; i < spi->NumberOfThreads; i++)

{

// 返出找到的线程Id

*ThreadId = (UINT32)spi->Threads[i].ClientId.UniqueThread;

break;

}

if (BufferData != NULL)

{

free(BufferData);

}

return bOk;

}

　　嗯，目前为止，预备工作差不多完工，那我们就开始正题吧！

0x03.注入方法一注入方法一 -- 创建新线程创建新线程

　　创建新线程，也就是在目标进程里，创建一个线程为我们服务，而创建线程的方法我找到的有三种：1.CreateRemoteThread；2.NtCreateThreadEx；

3.RtlCreateUserThread。

　　基本思路是：1.在目标进程内存空间申请内存；2.在刚申请的内存中写入Dll完整路径；3.创建新线程，去执行LoadLibrary，从而完成注入Dll。

　　ps：这里直接使用从自己加载的kernel32模块导出表中获得LoadLibrary地址，是因为一般情况下，所有进程加载这类系统库在内存中的地址相同！

　　因为只是创线程所使用的函数不一样，所以下面的代码随便放开一个创线程的步骤，屏蔽其他两个，都是可以成功的，这里我放开的是NtCreateThreadEx。

typedef NTSTATUS(NTAPI* pfnNtCreateThreadEx)

(

OUT PHANDLE hThread,

IN ACCESS_MASK DesiredAccess,

IN PVOID ObjectAttributes,

IN HANDLE ProcessHandle,

IN PVOID lpStartAddress,

IN PVOID lpParameter,

IN ULONG Flags,

IN SIZE_T StackZeroBits,

IN SIZE_T SizeOfStackCommit,

IN SIZE_T SizeOfStackReserve,

OUT PVOID lpBytesBuffer);

#define NT_SUCCESS(x) ((x) >= 0)

typedef struct _CLIENT_ID {

HANDLE UniqueProcess;

HANDLE UniqueThread;

} CLIENT_ID, *PCLIENT_ID;

typedef NTSTATUS(NTAPI * pfnRtlCreateUserThread)(

IN HANDLE ProcessHandle,

IN PSECURITY_DESCRIPTOR SecurityDescriptor OPTIONAL,

IN BOOLEAN CreateSuspended,

IN ULONG StackZeroBits OPTIONAL,

IN SIZE_T StackReserve OPTIONAL,

IN SIZE_T StackCommit OPTIONAL,

IN PTHREAD_START_ROUTINE StartAddress,

IN PVOID Parameter OPTIONAL,

OUT PHANDLE ThreadHandle OPTIONAL,

OUT PCLIENT_ID ClientId OPTIONAL);

BOOL InjectDll(UINT32 ProcessId)

{

HANDLE ProcessHandle = NULL;

ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, ProcessId);

// 在对方进程空间申请内存,存储Dll完整路径

UINT32 DllFullPathLength = (strlen(DllFullPath) + 1);

PVOID DllFullPathBufferData = VirtualAllocEx(ProcessHandle, NULL, DllFullPathLength, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

if (DllFullPathBufferData == NULL)

{

CloseHandle(ProcessHandle);

return FALSE;

}

// 将DllFullPath写进刚刚申请的内存中

SIZE_T ReturnLength;

BOOL bOk = WriteProcessMemory(ProcessHandle, DllFullPathBufferData, DllFullPath, strlen(DllFullPath) + 1, &ReturnLength);

LPTHREAD_START_ROUTINE LoadLibraryAddress = NULL;

HMODULE Kernel32Module = GetModuleHandle(L"Kernel32");

LoadLibraryAddress = (LPTHREAD_START_ROUTINE)GetProcAddress(Kernel32Module, "LoadLibraryA");

pfnNtCreateThreadEx NtCreateThreadEx = (pfnNtCreateThreadEx)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtCreateThreadEx");

if (NtCreateThreadEx == NULL)

{

CloseHandle(ProcessHandle);

return FALSE;

}

HANDLE ThreadHandle = NULL;

// 0x1FFFFF #define THREAD_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED | SYNCHRONIZE | 0xFFFF)

NtCreateThreadEx(&ThreadHandle, 0x1FFFFF, NULL, ProcessHandle, (LPTHREAD_START_ROUTINE)LoadLibraryAddress, DllFullPathBufferData, FALSE, NULL, NULL, NULL, NULL);

pfnRtlCreateUserThread RtlCreateUserThread = (pfnRtlCreateUserThread)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "RtlCreateUserThread");

HANDLE ThreadHandle = NULL;

NTSTATUS Status = RtlCreateUserThread(ProcessHandle, NULL, FALSE, 0, 0, 0, LoadLibraryAddress, DllFullPathBufferData, &ThreadHandle, NULL);

HANDLE ThreadHandle = CreateRemoteThread(ProcessHandle, NULL, 0, LoadLibraryAddress, DllFullPathBufferData, 0, NULL); // CreateRemoteThread 函数

if (ThreadHandle == NULL)

{

CloseHandle(ProcessHandle);

return FALSE;

剩余14页未读，继续阅读

评论收藏

内容反馈