一种Reflective DLL注入后的DLL卸载处理

最新推荐文章于 2024-08-16 09:01:34 发布
最新推荐文章于 2024-08-16 09:01:34 发布
阅读量1.2k 收藏 28
点赞数 25
分类专栏: windows 生活 文章标签: ReflectiveDLL注入 DLL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_si_yan/article/details/137022509
版权

概念

Reflective DLL injection,即反射型DLL注入,是一种库注入技术,其中采用反射编程的概念来执行将库从内存加载到主机进程中的操作。因此,该库负责通过实现最小的可移植可执行(PE)文件加载器来加载自身。然后,它可以通过与主机系统和进程的最小交互来控制它将如何加载并与主机交互。
反射DLL注入是一种允许攻击者从内存注入,而不是从磁盘文件将DLL注入目标进程的技术。

概述

假设我们在主机进程中执行代码,并且我们希望注入的库已写入主机进程中内存的任意位置,反射 DLL 注入的工作原理如下:

  • 执行通过 CreateRemoteThread() 或小型引导 shellcode 传递到库的 ReflectiveLoader 函数,该函数是库导出表中的导出函数。
  • 由于库的图像当前存在于内存中的任意位置,ReflectiveLoader 将首先计算其自己的图像在内存中的当前位置,以便能够解析其自己的标头以供稍后使用。
  • 然后ReflectiveLoader将解析主机进程kernel32.dll导出表,以计算加载程序所需的三个函数的地址,即LoadLibraryA、GetProcAddress和VirtualAlloc。
  • ReflectiveLoader 现在将分配一个连续的内存区域,它将继续加载自己的图像。该位置并不重要,因为加载程序稍后会正确地重新定位图像。
  • 库的标头和节被加载到内存中的新位置。
  • 然后 ReflectiveLoader 将处理新加载的图像导入表副本,加载任何其他库并解析它们各自的导入函数地址。
  • 然后 ReflectiveLoader 将处理新加载的图像重定位表副本。
  • 然后 ReflectiveLoader 将使用 DLL_PROCESS_ATTACH 调用其新加载的图像的入口点函数 DllMain。该库现已成功加载到内存中。
  • 最后,ReflectiveLoader 将返回执行到调用它的初始引导 shellcode,或者如果通过 CreateRemoteThread 调用它,则线程将终止。
    参考代码:Reflective DLL Injection

需求

在某些业务场景下,希望在被注入进程退出时进行一些额外的操作。一般情况下,在一个进程中,通过LoadLibrary或者通过CreateRemoteThread方式LoadLibrary的DLL,在进程退出时都会调用DLL的DLL_PROCESS_DETACH方法,这样可以在此时做一些清理工作。
通过反射注入的DLL,因为在内存中自己实现对DLL的映射加载,没有调用系统API LoadLibrary函数,导致进程退出时,注入的DLL中的DLL_PROCESS_DETACH不会触发,无法实现后期的清理动作。
大致流程

方案

当调用LoadLibrary加载DLL时,基本流程如下:
在这里插入图片描述
Peb->Ldr->InInitializationOrderModuleList记录了加载后的DLL相关信息,包含DLL的DllMain方法,即:EntryPoint方法,最后触发DLL中的DLL_PROCESS_ATTACH。

当调用FreeLibrary时,基本流程如下:
在这里插入图片描述
这里,通过遍历InInitializationOrderModuleList链表,当卸载某一系统dll时,Hook掉它的EntryPoint方法,即可实现在进程退出时进行后期的清理工作

		pListHeader = &pLdr->InInitializationOrderModuleList;
		pListEntry = (PLIST_ENTRY64)pListHeader->Flink;
		for (;;)
		{
			if ( pListEntry == pListHeader )
			{
				break;
			}

			ldrDataTable = CONTAINING_RECORD(pListEntry, LDR_DATA_TABLE_ENTRY64, InInitializationOrderModuleList);

			if ( _wcsicmp((PWCHAR)ldrDataTable->BaseDllName.Buffer, L"kernel32.dll") == 0 )
			{
				// Found it

				ldrDataTable->EntryPoint = (ULONG64)DllMainDummy;

				break;
			}

			pListEntry = (PLIST_ENTRY64)pListEntry->Flink;
		}

BOOL APIENTRY DllMainDummy( HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved )
{
	WCHAR Name[MAX_PATH] = {0};
	GetModuleFileNameW(hModule, Name, MAX_PATH);

	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		wprintf(L"DllMainDummy: Hooked DLL_PROCESS_ATTACH, %ws \r\n", Name);
		break;
	case DLL_PROCESS_DETACH:
		wprintf(L"DllMainDummy: Hooked DLL_PROCESS_DETACH, %ws \r\n", Name);
		FreeLibrary(hModule);
		break;
	}
	return TRUE;
}

此时,当进程退出时,就会卸载kernel32.dll,调用kernel32.dll中的DLL_PROCESS_DETACH分支,此时的kernel32.dll中EntryPoint已经被Hook掉了,就会触发我们的DllMainDummy方法。

_Noema
关注
专栏目录
从高级源码到机器码的过程,反射DLL加载卸载
fengdakailai的博客
05-11 862
在Java中有虚拟机,代码运行时虚拟机把Java语言编译成与机器无关的字节码,然后再把字节码编译成机器指令执行,那么在.NET中程序是如何运行的呢? 其实运行原理是一样的,.NET中的虚拟机是CLR(公共语言运行时),无论是C#程序还是VB程序,首先会由CLR编译成与平台无关的中间语言IL,然后由公共语言运行时CLR的 即时编译器JIT编译成机器代码,再由CPU去执行它。所以说.NET程序也是需要二次编译才能运行,其中涉及的相关术语解释如下: IL/MSIL (Microsoft Intermed..
reflective dll injection 反射注入
hambaga的博客
02-20 1554
一、reflective dll injection 反射注入介绍 网上对反射注入的定义是只通过内存把DLL注入到特定进程中,也就是说整个过程都不涉及文件操作。 优点 规避杀软基于文件系统的检测 不会在进程的DLL链表里留下记录 通过特殊处理,可以使用正常的方式编写DLL,实现shellcode的效果 缺点 DLL体积较大,相比于shellcode注入,更容易被检测 二、修改dos头,填入精心构造的 bootstrap shellcode metasploit 实现的bootstrap
利用反射,动态加载DLL卸载DLL
10-29
反射的加载与卸载,适用于需要经常变换更新的地方。 代码里文件路径是编译的路径(需要替换为自己的存放路径),我是将DLL拷贝到EXE文件夹下测试的,在没有卸载完,拷贝覆盖不了,卸载后就可以覆盖了。
C#中使用反射动态加载和卸载DLL
05-16 6043
C++中加载和卸载DLL是一件很容易的事,LoadLibrary和FreeLibrary让你能够轻 易的在程序中加载DLL,然后在任何地方卸载。在C#中我们也能使用Assembly.LoadFile实现动态加载DLL,但是当你试图卸载时,你会很 惊讶的发现Assembly没有提供任何卸载的方法。这是由于托管代码的自动垃圾回收机制会做这件事情,所以C#不提供释放资源的函数,一切由垃圾回收来 做。这引发了一个问题,用Assembly加载的DLL可能只在程序结束的时候才会被释放,这也意味着在程序运行期间无法
WinRM DLL 项目使用教程
最新发布
gitblog_00448的博客
08-16 228
WinRM DLL 项目使用教程 winrmdllC++ WinRM API via Reflective DLL项目地址:https://gitcode.com/gh_mirrors/wi/winrmdll 1. 项目的目录结构及介绍 WinRM DLL 项目的目录结构如下: winrmdll/ ├── .github/ │ └── workflows/ ├── .gitignore ├─...
DLL卸载
fa1c4的blog
03-06 470
DLL EjectionDLL弹出的一种技术, 对应于DLL注入. 原理 其实也比较简单 DLL注入是驱使目标进程调用LoadLibrary() API DLL弹出是驱使目标进程调用FreeLibrary() API 具体来说就是, 将FreeLibrary()的地址传递给CreateRemoteThread()的lpStartAddress参数, 把需要卸载DLL的句柄传递给lpParameter参数. 同时需要注意, Windows内核对象设置有一个引用计数(Reference Count)参数,
Reflective DLL Injection
04-02
Reflective DLL InjectionDLL注入一种高级形式,它利用了DLL自身来实现自我加载,无需依赖系统的LoadLibrary函数。这种技术在逆向工程、调试、安全研究以及恶意软件中都有广泛的应用。 Reflective DLL ...
ReflectiveDLLInjection.zip_PE Loader_brownn4u_inject_加载 pe_反射型DL
09-24
反射DLL注入一种注入技术,其中采用反射编程的概念来执行从存储器到主进程的库的加载。因此,库负责通过实现最小的可移植可执行文件(PE)文件加载器来加载自身。然后,它可以通过与主机系统和进程的最小交互来...
Reflective DLL Injection paper+src
06-06
经典paper:Reflective DLL Injection以及其代码实现,具体可以参考下面两个链接: 1.http://blog.csdn.net/GaA_Ra/archive/2011/06/06/6528359.aspx 2.http://www.harmonysecurity.com/ReflectiveDllInjection.html
windows-DLL注入
08-14
DLL(Dynamic Link Library)注入是Windows操作系统中一种高级技术,常用于系统调试、软件扩展以及恶意软件活动。本文将深入探讨DLL注入的概念、工作原理、实现方法及其在实际中的应用和安全风险。 **DLL注入的基本...
DLL卸载.rar
04-04
DLL卸载.rar
DLL注入卸载
05-22
实现window系统下的DLL注入卸载
第三课 DLL卸载
xuenixiang.com
08-02 372
先来看一下dll卸载的定义 先介绍引用计数的概念 #include "windows.h" #include "tlhelp32.h" #include "tchar.h" #define DEF_PROC_NAME (L"notepad.exe") #define DEF_DLL_NAME (L"myhack.dll") DWORD FindProcessID(LPCT...
DLL与Shellcode完全卸载自身
myjisgreat的专栏
06-13 2287
DLL与Shellcode完全卸载自身 搬运自我的百度空间 原创文章,转载请贴出处 远程注入时有一个不痛不痒的问题,DLL与shellcode如何卸载自身,做到无痕清除? 由于我的DLL卸载用到了Shellcode,所以两个问题都需要解决。 DLL卸载一般使用FreeLibrary,但是如果DLL自己Free自己,会遇到下一条指令(e
卸载Dll
qiuxue110的专栏
04-02 646
BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName) { BOOL bMore = FALSE, bFound = FALSE; HANDLE hSnapshot, hProcess, hThread; HMODULE hModule = NULL; MODULEENTRY32 me = { sizeof(me) }; LPTHREAD_START_ROUTINE pThreadProc; // dwPID = 传入的进程id // 使用 TH32CS.
实现DLL注入卸载
其疾如风 其徐如林 侵略如火 不动如山
05-15 9553
在Windows系统下,为了避免各个进程相互影响,每个进程的地址空间都是被隔离的。在执行DLL注入时需要通过创建“远程线程”来实现。所谓“远程线程”,并不是跨计算机,而是跨进程的。简而言之,就是进程A在进程B中创建一个线程,这个线程就叫“远程线程”。 要向其它进程中“注入DLL就需要在目标进程中调用相应的API函数(LoadLibrary),可是目标进程不会自己“乖乖地”调用加载函数,这时候要
网络靶场实战-反射DLL注入
蛇矛实验室
04-11 787
下图说明了反射 DLL 注入的工作原理。在之前的文章中,通过模拟 Windows 映像加载程序的功能,完全从内存中加载 DLL 模块,而无需将 DLL 存储到磁盘上,但这只能从本地进程中加载进内存中,如果想要在目标进程中通过内存加载 DLL 模块,可以通过一些 I/O 操作将所需的代码写入目标进程,但这大量的 I/O 操作对病毒引擎来说过于敏感,还有一个思路就是编写一段引导程序,这段引导程序用来模拟 Windows 映像加载程序的功能加载所需 DLL 模块,这就是本文所描述的技术,反射 DLL 注入
《逆向工程核心原理》----第24章DLL卸载
qq_55785697的博客
04-24 305
DLL注入使用LoadLibrary一样,DLL卸载需要使用FreeLibrary。 1.使用CreateToolhelp32Snapeshoot()API获取加载到进程中的dll信息 2.提权,LookupPrivilegeValue()可以查看权限,AdjustTookenPrivilege()可以禁用/启用函数 提权相关函数_爱沧海的博客-CSDN博客 提权函数的相关链接 3.之后同DLL注入过程类似,获取进程句柄,获取FreeLibrary()地址,创建远程线程 <注>这种方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值