一种Reflective DLL注入后的DLL卸载处理

最新推荐文章于 2024-08-09 07:06:34 发布
最新推荐文章于 2024-08-09 07:06:34 发布
阅读量1.1k 收藏 28
点赞数 25
分类专栏: windows 生活 文章标签: ReflectiveDLL注入 DLL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_si_yan/article/details/137022509
版权

概念

Reflective DLL injection,即反射型DLL注入,是一种库注入技术,其中采用反射编程的概念来执行将库从内存加载到主机进程中的操作。因此,该库负责通过实现最小的可移植可执行(PE)文件加载器来加载自身。然后,它可以通过与主机系统和进程的最小交互来控制它将如何加载并与主机交互。
反射DLL注入是一种允许攻击者从内存注入,而不是从磁盘文件将DLL注入目标进程的技术。

概述

假设我们在主机进程中执行代码,并且我们希望注入的库已写入主机进程中内存的任意位置,反射 DLL 注入的工作原理如下:

  • 执行通过 CreateRemoteThread() 或小型引导 shellcode 传递到库的 ReflectiveLoader 函数,该函数是库导出表中的导出函数。
  • 由于库的图像当前存在于内存中的任意位置,ReflectiveLoader 将首先计算其自己的图像在内存中的当前位置,以便能够解析其自己的标头以供稍后使用。
  • 然后ReflectiveLoader将解析主机进程kernel32.dll导出表,以计算加载程序所需的三个函数的地址,即LoadLibraryA、GetProcAddress和VirtualAlloc。
  • ReflectiveLoader 现在将分配一个连续的内存区域,它将继续加载自己的图像。该位置并不重要,因为加载程序稍后会正确地重新定位图像。
  • 库的标头和节被加载到内存中的新位置。
  • 然后 ReflectiveLoader 将处理新加载的图像导入表副本,加载任何其他库并解析它们各自的导入函数地址。
  • 然后 ReflectiveLoader 将处理新加载的图像重定位表副本。
  • 然后 ReflectiveLoader 将使用 DLL_PROCESS_ATTACH 调用其新加载的图像的入口点函数 DllMain。该库现已成功加载到内存中。
  • 最后,ReflectiveLoader 将返回执行到调用它的初始引导 shellcode,或者如果通过 CreateRemoteThread 调用它,则线程将终止。
    参考代码:Reflective DLL Injection

需求

在某些业务场景下,希望在被注入进程退出时进行一些额外的操作。一般情况下,在一个进程中,通过LoadLibrary或者通过CreateRemoteThread方式LoadLibrary的DLL,在进程退出时都会调用DLL的DLL_PROCESS_DETACH方法,这样可以在此时做一些清理工作。
通过反射注入的DLL,因为在内存中自己实现对DLL的映射加载,没有调用系统API LoadLibrary函数,导致进程退出时,注入的DLL中的DLL_PROCESS_DETACH不会触发,无法实现后期的清理动作。
大致流程

方案

当调用LoadLibrary加载DLL时,基本流程如下:
在这里插入图片描述
Peb->Ldr->InInitializationOrderModuleList记录了加载后的DLL相关信息,包含DLL的DllMain方法,即:EntryPoint方法,最后触发DLL中的DLL_PROCESS_ATTACH。

当调用FreeLibrary时,基本流程如下:
在这里插入图片描述
这里,通过遍历InInitializationOrderModuleList链表,当卸载某一系统dll时,Hook掉它的EntryPoint方法,即可实现在进程退出时进行后期的清理工作

		pListHeader = &pLdr->InInitializationOrderModuleList;
		pListEntry = (PLIST_ENTRY64)pListHeader->Flink;
		for (;;)
		{
			if ( pListEntry == pListHeader )
			{
				break;
			}

			ldrDataTable = CONTAINING_RECORD(pListEntry, LDR_DATA_TABLE_ENTRY64, InInitializationOrderModuleList);

			if ( _wcsicmp((PWCHAR)ldrDataTable->BaseDllName.Buffer, L"kernel32.dll") == 0 )
			{
				// Found it

				ldrDataTable->EntryPoint = (ULONG64)DllMainDummy;

				break;
			}

			pListEntry = (PLIST_ENTRY64)pListEntry->Flink;
		}

BOOL APIENTRY DllMainDummy( HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved )
{
	WCHAR Name[MAX_PATH] = {0};
	GetModuleFileNameW(hModule, Name, MAX_PATH);

	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		wprintf(L"DllMainDummy: Hooked DLL_PROCESS_ATTACH, %ws \r\n", Name);
		break;
	case DLL_PROCESS_DETACH:
		wprintf(L"DllMainDummy: Hooked DLL_PROCESS_DETACH, %ws \r\n", Name);
		FreeLibrary(hModule);
		break;
	}
	return TRUE;
}

此时,当进程退出时,就会卸载kernel32.dll,调用kernel32.dll中的DLL_PROCESS_DETACH分支,此时的kernel32.dll中EntryPoint已经被Hook掉了,就会触发我们的DllMainDummy方法。

_Noema
关注
  • 25
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows-DLL注入
08-14
windows-DLL注入整理
reflective dll injection 反射注入
hambaga的博客
02-20 1511
一、reflective dll injection 反射注入介绍 网上对反射注入的定义是只通过内存把DLL注入到特定进程中,也就是说整个过程都不涉及文件操作。 优点 规避杀软基于文件系统的检测 不会在进程的DLL链表里留下记录 通过特殊处理,可以使用正常的方式编写DLL,实现shellcode的效果 缺点 DLL体积较大,相比于shellcode注入,更容易被检测 二、修改dos头,填入精心构造的 bootstrap shellcode metasploit 实现的bootstrap
DLL卸载
qq_39249347的博客
08-24 1588
DLL卸载是将强制插入进程的DLL弹出的一种技术,其基本工作原理与使用CreateRemoteThread API进行DLL注入的原理类似。 DLL卸载工作的原理:将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数,并把要卸载DLL的句柄传递给lpParameter参数。 每个Windows内核对象都拥有一个引用计数,代表对象被被使用的次数,调用10次LoadLibrary(“a.dll”),a.dll的引用技术就变为10,卸载a..
ReflectDllInjection】 反射型DLL注入
dr0op's blog
04-06 3273
常规dll注入 这里引用一张图来表示: 反射型DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射型dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
卸载残留删除之 .dll文件
m0_61100491的博客
05-12 4302
dll(动态链接库),是一种可以被程序调用的一种通用型文件。也正因为这个特性,导致在删除垃圾软件后,会残留许多dll难以卸载。如图类似的“已在windows资源管理器打开”,如果要删除会耗费大量的精力,可能结果还删不掉。
Reflective DLL Injection paper+src
06-06
经典paper:Reflective DLL Injection以及其代码实现,具体可以参考下面两个链接: 1.http://blog.csdn.net/GaA_Ra/archive/2011/06/06/6528359.aspx 2.http://www.harmonysecurity.com/ReflectiveDllInjection.html
Reflective DLL Injection
04-02
Reflective DLL InjectionDLL注入一种高级形式,它利用了DLL自身来实现自我加载,无需依赖系统的LoadLibrary函数。这种技术在逆向工程、调试、安全研究以及恶意软件中都有广泛的应用。 Reflective DLL ...
goreflect - Golang Reflective DLL加载.zip
07-18
综上所述,`goreflect`项目提供了一种使用Go语言进行反射DLL加载的方法,这对于需要动态加载和调用外部代码的开发者来说是非常有用的工具。通过深入研究项目源码和提供的示例,我们可以学习到如何在Go中利用反射和...
ReflectiveDLLInjection.zip_PE Loader_brownn4u_inject_加载 pe_反射型DL
09-24
反射DLL注入一种注入技术,其中采用反射编程的概念来执行从存储器到主进程的库的加载。因此,库负责通过实现最小的可移植可执行文件(PE)文件加载器来加载自身。然后,它可以通过与主机系统和进程的最小交互来...
Reflective DLL Injection(字面翻译:反射dll注入)
GaA.Ra的自留地 in Csdn
06-06 8912
      这两天把印度佬的metasploit视频看完了.带着印度口音的英语伤不起啊(请自己想象生活大爆炸里Rajesh),但是这个印度佬的口音特别重,-___-,脑海里久久回荡着印度腔英语......     为什么会提到Reflective DLL Injection,看Metasploit Unleashed,里面提到神器meterpreter和vnc injection都是利用这
ReflectiveDLLInjection 项目教程
最新发布
gitblog_00664的博客
08-09 816
ReflectiveDLLInjection 项目教程 ReflectiveDLLInjectionReflective DLL injection is a library injection technique in which the concept of reflective programming is employed to perform the loading of a libr...
探索高效的技术注入Reflective DLL Injection
gitblog_00086的博客
05-09 461
探索高效的技术注入Reflective DLL Injection ReflectiveDLLInjectionReflective DLL injection is a library injection technique in which the concept of reflective programming is employed to perform the loading of...
ReflectiveLoader分析(远程线程注入 PE修正)
weixin_33752045的博客
10-26 606
从github上下载了ReflectiverLoader认真学习了一下 在代码中得到一些心得和自己的想法,都按步骤写到了代码中,现在分享给大家,如有错,望大家指正 其中需要注入dll和解析,内存RVA与文件RVA的转换代码(汇编与c++的都有)和解析,shellcode的汇编附到链接 一.这是用到的shellocode 作用:经调试得出他是为了解决x86下运行x64 的问题(...
反射式dll注入(ReflectiveDLLInjection)
随心动,随风行
04-30 4002
学习基于stephenfewer大佬的项目:ReflectiveDLLInjection 有兴趣的同学可以下载研究
C++-dll动态加载与卸载(LoadLibraryEx与FreeLibrary)
mrbone11的博客
01-05 7180
dll动态加载与卸载 这里的动态加载指的是:程序编译时不需要任何dll相应的lib进行链接,程序本身通过相关函数加载和卸载dll,并使用其中的函数。 代码如下: class PluginManager { public: static bool loadPlugin(const QString& pluginPath, PluginInstanceInfo& pluginInfo); static bool freePlugin(PluginInstanceInfo&
delphi完美的线程注入卸载
q304929130的专栏
01-12 611
/***************************************卸载dll**************************************//***********************************线程DLL***********************************//**********************************调整进程权限*******************************
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1441
前言dll 注入技术是让某个进程主动加载指定的 dll 的技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
使用c语言编写一个反射式 dll 注入的程序,并附带一个dll的模板
07-09
当涉及到 DLL 注入的反射式注入方法时可以使用 C 语言编写一个程序来实现。下是一个示例程序,它演示了如何使用反射式注入DLL 注入到目标进程中: ```c #include <stdio.h> #include <windows.h> // 反射注入 DLL 的函数 BOOL ReflectiveDllInjection(LPVOID lpDllBuffer) { // 获取当前进程的基址 HMODULE hModule = GetModuleHandle(NULL); // 获取当前进程的 DOS 头 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; // 获取当前进程的 NT 头 PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD_PTR)hModule + pDosHeader->e_lfanew); // 获取当前进程的映像基址 LPVOID pImageBase = (LPVOID)pNtHeaders->OptionalHeader.ImageBase; // 获取当前进程的入口点函数地址 LPVOID pEntryPoint = (LPVOID)((DWORD_PTR)pImageBase + pNtHeaders->OptionalHeader.AddressOfEntryPoint); // 为反射注入分配内存 LPVOID pRemoteImageBase = VirtualAllocEx(GetCurrentProcess(), NULL, pNtHeaders->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); // 将当前进程的映像基址复制到目标进程中 WriteProcessMemory(GetCurrentProcess(), pRemoteImageBase, pImageBase, pNtHeaders->OptionalHeader.SizeOfImage, NULL); // 将 DLL 缓冲区写入到目标进程中 WriteProcessMemory(GetCurrentProcess(), (LPVOID)((DWORD_PTR)pRemoteImageBase + ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.ImageBase), lpDllBuffer, ((PIMAGE_NT_HEADERS)lpDllBuffer)->OptionalHeader.SizeOfImage, NULL); // 更新目标进程的导入表 PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD_PTR)pRemoteImageBase + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); while (pImportDesc->Name != 0) { HMODULE hDll = LoadLibraryA((LPCSTR)((DWORD_PTR)pRemoteImageBase + pImportDesc->Name)); PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)((DWORD_PTR)pRemoteImageBase + pImportDesc->FirstThunk); while (pThunk->u1.Function != 0) { DWORD_PTR pFunc = (DWORD_PTR)GetProcAddress(hDll, (LPCSTR)pThunk->u1.Function); WriteProcessMemory(GetCurrentProcess(), &pThunk->u1.Function, &pFunc, sizeof(DWORD_PTR), NULL); pThunk++; } pImportDesc++; } // 创建远程线程来运行目标进程的入口点函数 HANDLE hThread = CreateRemoteThread(GetCurrentProcess(), NULL, 0, (LPTHREAD_START_ROUTINE)pEntryPoint, pRemoteImageBase, 0, NULL); if (hThread == NULL) { return FALSE; } WaitForSingleObject(hThread, INFINITE); // 清理内存 VirtualFreeEx(GetCurrentProcess(), pRemoteImageBase, 0, MEM_RELEASE); return TRUE; } int main() { // 读取 DLL 文件 FILE* fp = fopen("dll_template.dll", "rb"); if (fp == NULL) { printf("无法打开 DLL 文件!\n"); return 1; } // 获取 DLL 文件的大小 fseek(fp, 0, SEEK_END); long fileSize = ftell(fp); fseek(fp, 0, SEEK_SET); // 分配内存来存储 DLL 文件数据 LPVOID lpDllBuffer = malloc(fileSize); // 读取 DLL 文件数据到内存中 fread(lpDllBuffer, fileSize, 1, fp); // 关闭文件 fclose(fp); // 执行反射式注入 if (ReflectiveDllInjection(lpDllBuffer)) { printf("DLL 注入成功!\n"); } else { printf("DLL 注入失败!\n"); } // 释放内存 free(lpDllBuffer); return 0; } ``` 上述示例程序中,你需要将要注入DLL 文件命名为 "dll_template.dll",并与程序放在同一目录下。然后编译并运行程序,它将尝试将该 DLL 注入到目标进程中。 请注意,反射式注入的程序需要具有管理员权限才能成功运行。此外,反射注入可能会受到一些安全软件的检测,因为它使用了一些与恶意软件类似的技术。 希望这个示例程序能帮助到你!如有任何问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值