Внедрение DLL через CreateRemoteThread?
Предположим, что процедура удаленного потока выглядит следующим образом:
DWORD __stdcall ThreadProc (void *pData) {
ThreadData *p = (ThreadData*)pData; // Contains function references and strings
p->MessageBoxW(NULL, p->Message, p->Title, MB_OK);
}
Тогда все работает нормально и p->MessageBoxW(...) показывает окно сообщения, как и ожидалось. Но я не хочу звонить GetProcAddress для каждой функции, которую я использую в удаленном потоке, поэтому я подумал, что могу создать экспорт функции в моем модуле (EXE-файл создает удаленный поток), так что удаленный поток просто вызывает LoadLibraryW загрузить мой EXE-файл как модуль в адресное пространство целевого процесса и GetProcAddress чтобы получить адрес экспортируемой функции, чтобы вызвать ее.
typedef void (__stdcall *_Test) ();
extern "C" void __stdcall Test () {
return;
}
DWORD __stdcall ThreadProc (void *pData) {
ThreadData *p = (ThreadData*)pData; // Contains function references and strings
HMODULE hLib = p->LoadLibraryW(p->LibPath);
_Test pTest = (_Test)p->GetProcAddress(hLib, p->ProcName);
pTest();
p->FreeLibrary(hLib);
return NULL;
}
Это все еще работает отлично. Но как только я изменю экспортируемую функцию на
extern "C" void __stdcall Test () {
MessageBoxW(NULL, L"Message", L"Title", MB_OK);
return;
}
целевой процесс внезапно падает. не LoadLibrary разрешить межмодульные ссылки? Можно ли загрузить мой модуль в адресное пространство целевого процесса, чтобы экспортируемую функцию можно было кодировать, не передавая ей все адреса функций?
Дополнительная информация: для каждого, кто копирует код, мне нужно было отключить добавочную связь, построить как релиз и добавить файл определения модуля чтобы убедиться, что Test экспортируется как Test а не как _Test@SoMeJuNk, Просто предваряю __declspec(dllexport) не работал по какой-то причине. Файл определения модуля выглядит следующим образом
EXPORTS
Test@0
ThreadData структура выглядит так
typedef struct tagThreadData {
typedef BOOL (__stdcall *_FreeLibrary) (HMODULE);
typedef FARPROC (__stdcall *_GetProcAddress) (HMODULE, PSTR);
typedef HMODULE (__stdcall *_LoadLibraryW) (LPWSTR);
typedef DWORD (__stdcall *_MessageBoxW) (HWND, LPWSTR, LPWSTR, DWORD);
_FreeLibrary FreeLibrary;
_GetProcAddress GetProcAddress;
_LoadLibraryW LoadLibraryW;
_MessageBoxW MessageBoxW;
WCHAR LibPath[100];
WCHAR Message[30];
CHAR ProcName[10];
WCHAR Title[30];
} ThreadData, *PThreadData;
Решение
Я пришел к временному решению: поместить весь удаленный код в настоящую DLL. Но помещение кода в DLL не является моей целью, поэтому, если кто-то придумает умное решение, где EXE-файл является инжектором, а также внедряемым модулем, я отмечу новый ответ как правильный.
Несмотря на то, что существует множество руководств по внедрению реальной библиотеки DLL в адресное пространство другого процесса, я все же отдаю свое решение. Я написал свое оригинальное решение только для UNICODE и 64-бит, но я старался изо всех сил, чтобы оно работало как для ASCII и UNICODE, так и для 32-битных и 64-битных. Но давайте начнем …
Прежде всего, объяснение основных шагов
-
Получить дескриптор целевого процесса с по крайней мере следующими правами доступа
PROCESS_CREATE_THREAD PROCESS_QUERY_INFORMATION PROCESS_VM_OPERATION PROCESS_VM_WRITE PROCESS_VM_READ -
Выделите память для процедуры удаленного потока и указатели данных и функций, необходимые для загрузки целевой библиотеки DLL и ее «точки входа» (я не имею в виду фактическую точку входа DllMain, но функцию, предназначенную для вызова из удаленного потока)
PVOID pThread = VirtualAllocEx(hProc, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); -
Скопируйте процедуру удаленного потока и важные данные в целевой процесс
WriteProcessMemory(hProc, pThread, ThreadProc, ThreadProcLen, NULL); WriteProcessMemory(hProc, pParam, &data, sizeof(ThreadData), NULL); -
Создать удаленный поток. Этот поток загрузит целевой dll в адресное пространство целевого процесса и вызовет его «точку входа»
HANDLE hThread = CreateRemoteThread(hProc, NULL, 0, (PTHREAD_START_ROUTINE)pThread, pParam, NULL, NULL); -
Необязательный: Подождите, пока поток не вернется
WaitForSingleObject(hThread, INFINITE); DWORD threadExitCode; GetExitCodeThread(hThread, &threadExitCode); -
Закрыть дескриптор потока, освободить память, Закрыть дескриптор процесса
CloseHandle(hThread); VirtualFreeEx(hProc, pThread, 4096, MEM_RELEASE); CloseHandle(hProc);
Так вот мой ThreadProc а также ThreadData состав. ThreadProc процедура удаленного потока вызывается CreateRemoteThread и должен LoadLibrary целевая библиотека DLL, поэтому она может вызвать целевую библиотеку «точка входа». ThreadData структура содержит адреса LoadLibrary, GetProcAddress а также FreeLibrary, целевой путь DLL TargetDll и название «точки входа» DllEntry,
typedef struct {
typedef BOOL (__stdcall *_FreeLibrary) (HMODULE);
typedef FARPROC (__stdcall *_GetProcAddress) (HMODULE, LPCH);
typedef HMODULE (__stdcall *_LoadLibrary) (LPTSTR);
typedef void (__stdcall *_DllEntry) ();
_LoadLibrary LoadLibrary;
TCHAR TargetDll[MAX_PATH];
_GetProcAddress GetProcAddress;
CHAR DllEntry[50]; // Some entrypoint designed to be
// called from the remote thread
_FreeLibrary FreeLibrary;
} ThreadData, *PThreadData;// ThreadProcLen should be smaller than 3400, because ThreadData can
// take up to 644 bytes unless you change the length of TargetDll or
// DllEntry
#define ThreadProcLen (ULONG_PTR)2048
#define SPY_ERROR_OK (DWORD)0
#define SPY_ERROR_LOAD_LIB (DWORD)1
#define SPY_ERROR_GET_PROC (DWORD)2
DWORD ThreadProc (PVOID pParam) {
DWORD err = SPY_ERROR_OK;
PThreadData p = (PThreadData)pParam;
// Load dll to be injected
HMODULE hLib = p->LoadLibrary(p->TargetDll);
if (hLib == NULL)
return SPY_ERROR_LOAD_LIB;
// Obtain "entrypoint" of dll (not DllMain)
ThreadData::_DllEntry pDllEntry = (ThreadData::_DllEntry)p->GetProcAddress(hLib, p->DllEntry);
if (pDllEntry != NULL)
// Call dll's "entrypoint"pDllEntry();
else
err = SPY_ERROR_GET_PROC;
// Free dll
p->FreeLibrary(hLib);
return err;
}
Тогда есть фактический код, внедряющий процедуру удаленного потока в адресное пространство целевого процесса
int main(int argc, char* argv[]) {
// DWORD pid = atoi(argv[1]);
// Open process
HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
if (hProc != NULL) {
// Allocate memory in the target process's address space
PVOID pThread = VirtualAllocEx(hProc, NULL, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if (pThread != NULL) {
PVOID pParam = (PVOID)((ULONG_PTR)pThread + ThreadProcLen);
// Initialize data to be passed to the remote thread
ThreadData data;
HMODULE hLib = LoadLibrary(TEXT("KERNEL32.DLL"));
data.LoadLibrary = (ThreadData::_LoadLibrary)GetProcAddress(hLib, "LoadLibrary");
data.GetProcAddress = (ThreadData::_GetProcAddress)GetProcAddress(hLib, "GetProcAddress");
data.FreeLibrary = (ThreadData::_FreeLibrary)GetProcAddress(hLib, "FreeLibrary");
FreeLibrary(hLib);
_tcscpy_s(data.TargetDll, TEXT("...")); // Insert path of target dll
strcpy_s(data.DllEntry, "NameOfTheDllEntry"); // Insert name of dll's "entrypoint"
// Write procedure and data into the target process's address space
WriteProcessMemory(hProc, pThread, ThreadProc, ThreadProcLen, NULL);
WriteProcessMemory(hProc, pParam, &data, sizeof(ThreadData), NULL);
// Create remote thread (ThreadProc)
HANDLE hThread = CreateRemoteThread(hProc, NULL, 0, (PTHREAD_START_ROUTINE)pThread, pParam, NULL, NULL);
if (hThread != NULL) {
// Wait until remote thread has finished
if (WaitForSingleObject(hThread, INFINITE) == WAIT_OBJECT_0) {
DWORD threadExitCode;
// Evaluate exit code
if (GetExitCodeThread(hThread, &threadExitCode) != FALSE) {
// Evaluate exit code
} else {
// The thread's exit code couldn't be obtained
}
} else {
// Thread didn't finish for some unknown reason
}
// Close thread handle
CloseHandle(hThread);
}
// Deallocate memory
VirtualFreeEx(hProc, pThread, 4096, MEM_RELEASE);
} else {
// Couldn't allocate memory in the target process's address space
}
// Close process handle
CloseHandle(hProc);
}
return 0;
}
Инъецированная dll имеет реальную точку входа DllMain это называется, когда LoadLibrary загружает целевую dll в адресное пространство целевого процесса и другую «точку входа» NameOfTheDllEntry вызывается процедурой удаленного потока (если она может быть расположена в первую очередь)
// Module.def:
// LIBRARY NameOfDllWithoutExtension
// EXPORTS
// NameOfTheDllEntry
__declspec(dllexport) void __stdcall NameOfTheDllEntry () {
// Because the library is actually loaded in the target process's address
// space, there's no need for obtaining pointers to every function.
// I didn't try libraries other than kernel32.dll and user32.dll, but they
// should be working as well as long as the dll itself references them
// Do stuff
return;
}BOOL APIENTRY DllMain (HMODULE hLib, DWORD reason, PVOID) {
if (reason == DLL_PROCESS_ATTACH)
DisableThreadLibraryCalls(hLib); // Optional
return TRUE;
}
Другие решения
Других решений пока нет …