该系列文章是依据本人平时对动态链接库的学习,归纳总结,所做的学习笔记。如有错误或待改善之处,请留下您宝贵的意见或建议。
最近在研究逆向工程的相关知识,主要用到的是C++逆向,工具有IDA和OLLYDBG等,学了有一段时间了,一直苦于总结能力不够,不知道逆向的东西该怎么总结,所以一直都没有总结之。这其中有用到DLL劫持技术的,觉得这个易于总结,所以先写几篇文章总结一下DLL劫持的技术吧。刚入门,所以只能肤浅的讲解一个大概,欲深入了解,请百度之。
首先讲一下DLL的原理,然后在用一个简单的例子讲讲DLL劫持。
一.DLL的概念
DLL(Dynamic LinkableLibrary)是一个包含可由多个程序同时使用的代码和数据的库,DLL不是可执行文件。简言之,就是一种仓库,它提供了一些变量、函数和类等,在这种仓库的发展过程中,经历了:无库->静态谅解库->动态链接库的过程。
静态库和动态库都是代码共享的方式。所不同的是,静调库(lib)中的代码将会包含到最终生成的EXE中,而DLL则不必包含在最终生成的EXE文件中,EXE执行是可以“动态”地加载和卸载这个与EXE独立的DLL文件。静态链接库和动态链接库的另外一个区别在于静态链接库中不能再包含其他的动态链接库或者静态库,而在动态链接库中还可以再包含其他的动态或静态链接库。
对于动态库,还需了解:
1. DLL的编制与具体的编程语言及编译器无关
只要遵循约定的DLL接口规范和调用方式,用各种语言编写的DLL都可以相互调用。譬如Windows提供的系统DLL(其中包括了Windows的API),在任何开发环境中都能被调用,不在乎其是C#、Visual C++还是Delphi。
2. VC动态链接库的分类
Visual C++支持三种DLL,它们分别是Non-MFCDLL(非MFC动态库)、MFCRegular DLL(MFC规则DLL)、MFC ExtensionDLL(MFC扩展DLL)。
非MFC动态库不采用MFC类库结构,其导出函数为标准的C接口,能被非MFC或MFC编写的应用程序所调用;MFC规则DLL包含一个继承自CWinApp的类,但其无消息循环;MFC扩展DLL采用MFC的动态链接版本创建,它只能被用MFC类库所编写的应用程序所调用。
二. Non-MFC DLL的编写
1. 编写
如下编写一个Add函数,使用动态链接库提供函数的调用。
在VS2010中,新建一个项目,依次选择:VisualC++ -> Win32 -> Win32控制台应用程序,名称为AddDLL,在应用程序设置中,选择DLL和空项目,完成。
在建立的工程中添加lib.h及lib.cpp文件,源代码如下:
lib.h:
#ifndef LIB_H
#define LIB_H
extern "C" int __declspec(dllexport)add(int x, int y);
#endif
lib.cpp:
#include "lib.h"
int add(int x, int y){
return x + y;
}
然后就可以生成名为AddDLL.dll和AddDLL.lib的文件了。
2. 使用(动态调用)
DLL的调用分为两种:
(1) 由“LoadLibrary-GetProcAddress-FreeLibrary”系统Api提供的三位一体“DLL加载-DLL函数地址获取-DLL释放”方式,这种调用方式称为DLL的动态调用。动态调用方式的特点是完全由编程者用API函数加载和卸载DLL,程序员可以决定DLL文件何时加载或不加载,显式链接在运行时决定加载哪个DLL文件。
(2) 与动态调用方式相对应的就是静态调用方式,静态调用方式的特点是由编译系统完成对DLL的加载和应用程序结束时DLL的卸载。当调用某DLL的应用程序结束时,若系统中还有其它程序使用该DLL,则Windows对DLL的应用记录减1,直到所有使用该DLL的程序都结束时才释放它。静态调用方式简单实用,但不如动态调用方式灵活。
下面我们先来讲解一下动态调用方式:
建立一个与 DLL 工程处于同一工作区的应用工程 dllCall ,它调用 DLL 中的函数 add ,其源代码如下:
#include <windows.h>
typedef int(*lpAddFun)(int, int);//宏定义函数指针类型
int main(int argc, char *argv[]){
HINSTANCE hDll; //DLL句柄
lpAddFun addFun; //函数指针
hDll = LoadLibrary("..\\Debug\\dllTest.dll");
if (hDll != NULL){
addFun = (lpAddFun)GetProcAddress(hDll, "add");
if (addFun != NULL){
int result = addFun(2, 3);
printf("%d", result);
}
FreeLibrary(hDll);
}
return 0;
}
分析上述代码,我们看到函数add的声明前面添加了__declspec(dllexport)语句。这个语句的含义是声明函数add为DLL的导出函数。DLL内的函数分为两种:
(1)DLL导出函数,可供应用程序调用;
(2)DLL内部函数,只能在DLL程序使用,应用程序无法调用它们。
首先,语句typedefint ( * lpAddFun)(int,int)定义了一个与add函数接受参数类型和返回值均相同的函数指针类型。随后,在main函数中定义了lpAddFun的实例addFun;
其次,在函数main中定义了一个DLLHINSTANCE句柄实例hDll,通过Win32 Api函数LoadLibrary动态加载了DLL模块并将DLL模块句柄赋给了hDll;
再次,在函数main中通过Win32 Api函数GetProcAddress得到了所加载DLL模块中函数add的地址并赋给了addFun。经由函数指针addFun进行了对DLL中add函数的调用;
最后,应用工程使用完DLL后,在函数main中通过Win32 Api函数FreeLibrary释放了已经加载的DLL模块。
通过这个简单的例子,我们获知DLL定义和调用的一般概念:
(1)DLL中需以某种特定的方式声明导出函数(或变量、类);
(2)应用工程需以某种特定的方式调用DLL的导出函数(或变量、类)。
下面我们来对“特定的方式进行”阐述。
DLL中导出函数的声明有两种方式:一种为以上例子中给出的在函数声明中加上__declspec(dllexport);另外一种方式是采用模块定义(.def)文件声明,.def文件为链接器提供了有关被链接程序的导出、属性及其他方面的信息,这里不做详细的解释。
3. 使用(静态调用)
以上一节讲了DLL的动态调用,现在我们来讲解一下静态调用。
将编译AddDLL工程所生成的.lib和.dll文件拷入dllCall工程所在的路径,dllCall执行下列代码:
//.lib文件中仅仅是关于其对应DLL文件中函数的重定位信息
extern "C" __declspec(dllimport) add(int x,int y);
int main(int argc, char* argv[])
{
int result = add(2,3);
printf("%d",result);
return 0;
}
由上述代码可以看出,静态调用方式的顺利进行需要完成两个动作:
(1)告诉编译器与DLL相对应的.lib文件所在的路径及文件名,#pragmacomment(lib,"dllTest.lib")就是起这个作用。
程序员在建立一个DLL文件时,连接器会自动为其生成一个对应的.lib文件,该文件包含了DLL 导出函数的符号名及序号(并不含有实际的代码)。在应用程序里,.lib文件将作为DLL的替代文件参与编译。
(2)声明导入函数,extern"C" __declspec(dllimport) add(int x,int y)语句中的__declspec(dllimport)发挥这个作用。
静态调用方式不再需要使用系统API来加载、卸载DLL以及获取DLL中导出函数的地址。这是因为,当程序员通过静态链接方式编译生成应用程序时,应用程序中调用的与.lib文件中导出符号相匹配的函数符号将进入到生成的EXE 文件中,.lib文件中所包含的与之对应的DLL文件的文件名也被编译器存储在 EXE文件内部。当应用程序运行过程中需要加载DLL文件时,Windows将根据这些信息发现并加载DLL,然后通过符号名实现对DLL 函数的动态链接。这样,EXE将能直接通过函数名调用DLL的输出函数,就象调用程序内部的其他函数一样。
这一节就总结到此,下一节,讲讲DLLMain入口函数。