0x0 介绍
之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入。
傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难,经常作为恶意程序的内存驻留手段,它可以将一个正在执行的进程作为傀儡进程,也可以创建一个新的进程作为傀儡进程,这里是用dll注入来进行示例,所以利用的是正在执行的进程。
0x1 SetThreadContext
对于一个正在执行的线程,我们可以通过SuspendThread函数暂停该线程的执行,然后系统会将线程上下文保存起来,它拥有CPU的执行状态信息,ResumeThread函数利用该线程上下文来恢复线程的执行。一个想法是我们使用SetThreadContext直接修改保存的上下文的EIP,就可以劫持控制流。
具体操作过程:
- 写一段加载目标dll的shellcode。我们使用一个结构体来保存shellcode执行所需数据,shellcode能定位到开头处,然后可以通过相对偏移访问其他字段。
typedef struct _INJECT_DATA //结构体用于保存shellcode执行所需数据
{
BYTE shellcode[0x30]; //shellcode本体
ULONG_PTR A