我最近在做DLL注入工作,所以我在谷歌上做了一些關於它的研究 。現在我知道使用CreateRemoteThread是一個好方法。LoadLibrary上的CreateRemoteThread並獲取HMODULE
的ASLR(地址空間佈局隨機化,因爲Windows Vista中),使KERNEL32.DLL的 地址是隨機的,但是這並不影響整體,因爲在一個會話 中的所有進程kernel32.dll的基址只是 相同 - 直到操作系統重置。
所以這個代碼可能是安全正常:
void launchAndInject(const char* app, const char* dll)
{
STARTUPINFOA si = {0};
si.cb = sizeof(si);
PROCESS_INFORMATION pi = {0};
if (CreateProcessA(app, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi))
{
LPVOID loadLibrary = GetProcAddress(GetModuleHandleA("kernel32.dll"), "LoadLibraryA");
if (loadLibrary == NULL) {
return;
}
SIZE_T len = ::strlen(dll) + 1;
LPVOID addr = VirtualAllocEx(pi.hProcess, NULL, len, MEM_RESERVE|MEM_COMMIT, PAGE_READWRITE);
if (addr == NULL) {
return;
}
if (!WriteProcessMemory(pi.hProcess, addr, dll, len, NULL)) {
return;
}
HANDLE th = CreateRemoteThread(pi.hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibrary, addr, 0, NULL);
WaitForSingleObject(th, INFINITE);
DWORD ret = 0;
GetExitCodeThread(th, &ret);
CloseHandle(th);
ResumeThread(pi.hThread);
}
}
注入線程的退出代碼只是 調用LoadLibrary返回的值,因此RET是加載DLL的只是HMODULE(在 子進程當然),它的作用像一個魔術,到目前爲止非常好。
我已經閱讀了許多關於DLL注入的項目,他們使用DLLMain來做很多 作業 - 比如創建線程或鉤子API等等。他們必須非常小心地執行這些操作,參考微軟的文檔「創建DLL的 的最佳實踐」,諸如創建線程的行爲可能導致 死鎖,「理想的DllMain將只是一個空的存根」,所以我不認爲 這是一個非常好的方法。
因此,獲取加載的DLL的HMODULE很重要。通過這個句柄,你可以使用CreateRemoteThread調用一個注入DLL的導出函數,做任何你想要的 ,不需要擔心加載器鎖定的事情。
不幸的是,上面只有代碼與32位進程,這是因爲 的線程的退出代碼的類型爲DWORD - 32位無符號整數,但 HMODULE是一個指針,也可以是64位。因此,在64位進程中,您可能會從GetExitCodeThread獲得一個 DWORD值0xeb390000,但實際上由LoadLibrary返回的HMODULE 是0x7feeb390000。 0xeb390000只是一個截斷的64bit 指針。
我們該如何解決這個問題?
我的另一個問題:http://stackoverflow.com/questions/27331014/enumprocessmodulesex-and-createtoolhelp32snapshot-fails-whatever-32bit-or-64bi我不知道爲什麼EnumProcessModules不起作用。對於調試事件,我擔心性能。我最終選擇了IPC解決方案。 – amanjiang 2014-12-08 02:30:59
有關爲什麼EnumProcessModules不起作用的答案:http://stackoverflow.com/a/27317947/996540 – amanjiang 2014-12-08 03:50:07
這對知道有用。 – 2014-12-08 07:22:49