无进程DLL木马的又一开发思路与实现

核心提示： Ws2_32.dll是使用标准的动态链接库来加载服务提供者接口的DLL到系统中去的，并调用WSPStartup来初始化，无进程DLL木马的又一开发思路与实现(3)，WSPStartup是Windows Socket 2应用程序调用SPI程序的初始化函数，也就是入口函数，之后我们可以调用WS

Ws2_32.dll是使用标准的动态链接库来加载服务提供者接口的DLL到系统中去的，并调用WSPStartup来初始化。WSPStartup是Windows Socket 2应用程序调用SPI程序的初始化函数，也就是入口函数。WSPStartup的参数LPWSAPROTOCOL_INFOW指针提供应用程序所期望的协议信息，然后通过这个结构指针我们可以获得所保存的系统服务提供者的DLL名称和路径，加载系统服务提供者后查找到系统SPI程序的WSPStartup函数的指针，通过这个指针我们就可以将自己服务提供者的WSPStartup函数和系统SPI程序的WSPStartup函数相关联，进而调用系统的各个服务提供者函数。在数据传输服务提供者的实现中，我们需要两个程序，一个是可执行文件用来安装传输服务提供者；另一个就是DLL形式的数据传输服务提供者。

三）基于SPI的DLL木马技术

上面我们已经介绍了传输服务提供者的特性，现在让我们来看看如果将这种技术运用于木马进程隐藏的。在每个操作系统中都有系统网络服务，它们是在系统启动时自动加载，而且很多是基于IP协议的。如果我们书写了一个IP协议的传输服务提供者，并安装在服务提供者数据库的最前端，系统网络服务就会加载我们的服务提供者。如果将木马程序嵌入到服务提供者的DLL文件之中，在启动系统网络服务时我们的木马程序也会被启动。这种形式的DLL木马只须被安装一次，而后就会被自动加载到可执行文件的进程中，还有一个特点就是它会被多个网络服务加载。通常在系统关闭时，系统网络服务才会结束，所以我们的木马程序同样可以在系统运行时保持激活状态。

在传输服务提供者中，有30个SPI函数是以分配表的形式存在的。在Ws2_32.dll中的大多数函数都有与之对应的传输服务提供者函数。如WSPRecv和WSPSend，它们在Ws2_32.dll中的对应函数是WSARecv和WSASend。我们假设自己编写了一个基于IP协议的服务提供者并安装于系统之中，当系统重启时它被svchost.exe程序加载了，而且svchost.exe在135/TCP监听，完事具备了。在我们的传输服务提供者中，自己重新编写了WSPRecv函数，对接收到的数据进行分析，如果其中含有客户端发送过来的暗号，就执行相应的命令获得期望的动作，之后我们可以调用WSPSend函数将结果发送到客户端，这样不仅隐藏了进程，而且还重用了已有的端口。