本文详细介绍了DLL注入过程中Shellcode不执行的解决方法,包括步骤一的定义和初始化,步骤二的内存申请与写入,以及步骤三的远程线程创建。作者通过调试器调试、Shellcode自定位以及处理debug版本中的Shellcode地址来解决问题。文章出自看雪论坛作者psycongroo的逆向学习笔记。
本文为看雪论坛优秀文章
看雪论坛作者ID:psycongroo
前言 笔者已经有一段时间没发文了,说实话最近学习逆向没劲儿,不知道是不是因为天气总是变化无常,人感觉有点疲惫。 之前一直在看韩国人写的《逆向工程核心原理》,但总感觉缺了点什么,于是乎买了本《加密与解密》。总体上来说看到现在给我的感觉就是,很难,似乎较为注重理论知识。 与《逆向工程核心原理》一章好几个实践不同,《加密与解密》前面用了大部分章节去介绍诸如动静分析技术,加密算法,window内核等基础理论知识。较为后面才有HOOK,注入等偏实践的内容。即便有实践其过程也没有《逆向工程核心原理》那么详细和细致。 所以个人认为,刚入门还是先看《逆向工程核心原理》,根据上面的内容去实践,熟悉Win32的开发和一些常用的API,有了基础再去看《加密与解密》。不然就可能会和笔者一样,被《加密与解密》其前面庞大的基础理论内容搞得晕头转向, 丧失一定的兴趣和耐心。 回到这次的主题上,这次的内容是使用CreateRemoteThread的方法在目标进程中运行自己写的Shellcode,大部分内容是效仿《加密与解密》中的一些代码。虽然《逆向工程核心原理》中也有提到,但是当时笔者没怎么留意,一些写Shellcode的便捷方法书里也没提到,所以当时也就放弃了。在看到《加密与解密》中用了一些较为人性的方法写Shellcode时,于是便想试试,才有了这篇文章。
原理 提醒:本文全篇使用的均是32位的程序 在上一篇文章中,笔者介绍了使用CreateRemoteThread去迫使其他进程执行LoadLibrary并加载我们自定义的DLL以达到目的。 而事实上只要我们定义的函数的模板符合CreateRemoteThread参数中定义的函数模板,就能通过远程线程的方式去执行它,而不仅限于LoadLibrary。
DWORD WINAPI ThreadProc( _In_ LPVOID lpParameter);typedef struct _INJECT_DATA{ char lpText[8]; //参数1 char lpCaption[8]; //参数2}INJECT_DATA;typedef struct _INJECT_DATA{ BYTE shellCode[0x1D]; //一段ShellCode执行MessageBoxA char lpText[8]; //message char lpCaption[8]; //title LPVOID lpThreadStart; //MessageBoxA地址}INJECT_DATA;__declspec (naked)void shellCodeFun(void) { __asm { call L001; L001: pop ebx; //sub ebx, 5; and bx, 0; push 0; lea esi, dword ptr ds : [ebx]INJECT_DATA.lpCaption ; //0x25注意偏移量 push esi; lea esi, dword ptr ds : [ebx]INJECT_DATA.lpText ; //0x1D push esi; push 0; call dword ptr ds : [ebx]INJECT_DATA.lpThreadStart ; //0x2D ret; }}实践
步骤一定义和初始化:
定义结构体和编写Shellcode,当然这些都是根据自己的需求来具体定义的, 在这里同样以弹框来做示例(Shellcode代码在上面,这里不赘述 ) : INJECT_DATA data; ZeroMemory(&data, sizeof(INJECT_DATA)); PBYTE pShellCode = (PBYTE)shellCodeFun;#ifdef DEBUG if (pShellCode[0] == 0xE9) { //debug环境下会多一个jmp xxxx指令,必须拿到xxxx地址,地址大小为5字节 //因为jump xxxx,这个xxxx为相对地址,所以为 目前地址+xxxx地址+整个jmp指令长度 pShellCode = pShellCode + *(ULONG*)(pShellCode + 1) + 5; }#endif // DEBUG memcpy(data.shellCode, pShellCode, sizeof(data.shellCode)); char text[] = "message"; char title[] = "title"; memcpy(data.lpText, text, 8); memcpy(data.lpCaption, title, 8); /*data.lpText = text; data.lpCaption = title;*/ //值一定要在目标进程空间内 HMODULE hmod = GetModuleHandleA("user32.dll"); FARPROC dialog = GetProcAddress(hmod, "MessageBoxA"); data.lpThreadStart = dialog;call L001; //自己是为了自定位,为了拿到Shellcode开始的地址,也即是结构体的地址。 L001:pop ebx; //拿出call时保存的返回地址and bx, 0; //因为使用VirtualAllocEx函数申请的虚拟内存都是64kb对齐的,只要低地址。push 0;lea esi, dword ptr ds : [ebx]INJECT_DATA.lpCaption ;....#ifdef DEBUG if (pShellCode[0] == 0xE9) { //debug环境下会多一个jmp xxxx指令,必须拿到xxxx地址,地址大小为5字节 //因为jump xxxx,这个xxxx为相对地址,所以为 目前地址+xxxx地址+整个jmp指令长度 pShellCode = pShellCode + *(ULONG*)(pShellCode + 1) + 5; }#endif // DEBUG步骤二申请内存并写入:
通过VirtualAllocEx申请虚拟内存,通过WriteProcessMemory写入虚拟内存:int injectSize = sizeof(INJECT_DATA);PBYTE mBuffer = (PBYTE)VirtualAllocEx(mProcess, NULL, injectSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); //注意要为 PAGE_EXECUTE_READWRITEWriteProcessMemory(mProcess, mBuffer, &data, injectSize, NULL)步骤三建立远程线程执行:
mRemoteThread = CreateRemoteThread(mProcess, NULL, 0, (LPTHREAD_START_ROUTINE)mBuffer, NULL, 0, NULL);总结 第一次写Shellcode,虽然看上去简单,但却遇到了很多问题。例如什么是Shellcode中的自定位,Shellcode中如何使用参数,如何使用调试器调试等等。 说实话这次将MessageBox作为示例,但个人感觉似乎不太妥当。因为只有当目标程序加载了User32.dll,这段Shellcode才能生效。也就是说这里的Shellcode对User32.dll这个库产生了依赖。或许可以在ntdll.dll中找到与之对应的函数,调用这个才更符合Shellcode无依赖的定义吧。 Shellcode的应用很广泛,粗略看了《加密与解密》,书中介绍到很多注入都是编写Shellcode并利用形同如CreateRemoteThread函数能执行一段函数的特性来实现的。所以以后凡是看到一个函数能调用其另一个函数,就有这种注入的可能。
附加说明
第一条:使用调试器调试
这条才是最重要的,因为所有的疑问都能在调试器里找到答案。 为了调试远程线程,首先我们在visual studio中对CreateRemoteThread打上断点:
然后用ollydbg或者x32dbg附加目标程序,随后设置线程开始断点:
再然后运行我们的注入程序,程序会在创建远程线程的地方断点:
同时记录我们调用VirtualAllocEx时返回的内存地址,这是我们Shellcode所在的目标进程的地址。
在调试器中跳到这个地址,然后我们就能看到自己写的Shellcode:
当然我们来这里不是为了旅游的,打下断点,并且让visual studio中的断点继续运行,调试器会在线程开始的地方断下(因为我们设置过):
F9运行后就能到我们Shellcode的断点了。
其实只要找到Shellcode地址下断就行了,并不需要在olldbg/32xdbg中设置线程开始的断点。只不过这样做是为了更直观的看到线程的工作流程。
第二条Shellcode自定位
为什么要用到Shellcode自定位,因为我们要确定Shellcode在目标程序中的虚拟内存地址。 为什么要用到这个地址,因为我们Shellcode中用到的参数,如文中弹窗标题,内容等,都需要通过这个地址来寻找。 为什么能通过Shellcode地址定位到我们参数的地址?因为我们的Shellcode和参数都是放到同一个结构体中的,而结构体里的成员地址都是连续的。结构体的首地址便是结构体中定义的第一个成员的地址(文中的是Shellcode)。
使用Call会将Call下一条的地址入栈,随后使用pop拿出来这条地址,通过低16位and运算置0(书上说的是因为使用VirtualAllocEx申请的内存大小是64kb对齐,说实话我也没搞懂),或者sub减去5(Call 地址指令的大小),就能拿到基址:
这样,我们就可以通过基址+Shellcode大小+偏移量拿到参数,也可以通过dword ptr ds : [ebx]INJECT_DATA.lpCaption这样的方法拿到参数。
第三条debug版本中Shellcode地址处理
当我们的注入程序是debug版本,在把Shellcode写入结构体前,需要对Shellcode的地址进行处理:#ifdef DEBUG if (pShellCode[0] == 0xE9) { //debug环境下会多一个jmp xxxx指令,必须拿到xxxx地址,地址大小为5字节 //因为jump xxxx,这个xxxx为相对地址,所以为 目前地址+xxxx地址+整个jmp指令长度 pShellCode = pShellCode + *(ULONG*)(pShellCode + 1) + 5; }#endif // DEBUG
如果此时没有对地址进行处理,本来应该复制Shellcode的代码到结构体成员当中,现在却复制了 jmp xxxx代码,从而造成错误。
因此我们在debug版下必须对地址进行处理。
而处理的方法就是将当前指向jmp代码的地址加上jmp后面的地址,最后在加上整个jmp指令的长度。
真正的Shellcode地址=006E180C(当前指向jmp的地址)+9EFF(jmp指令后面的地址数据)+5(jmp指令长度)=6EB710。
造成这种现象是因为debug版本下编译器并没有进行优化,使得函数的调用都有一个jmp表,如上图。
而十六进制为E9的jmp为近距离跳转,也就是说jmp后面跟的地址是相对于这条jmp指令的相对地址,也叫偏移。因此,两者相加,最后加上指令本身的长度,就能获得原地址了。
附件 附件中的源程序包含之前文章DLL注入代码,可无视,输入进程PID后,按1即可进行Shellcode注入。 https://share.weiyun.com/AhueFz5l
看雪ID:psycongroo
https://bbs.pediy.com/user-home-899080.htm
*本文由看雪论坛 psycongroo 原创,转载请注明来自看雪社区。
扫码购票立享2.5折优惠!
十大干货议题收入囊中!
推荐文章++++
* CVE-2019-15666 xfrm_policy 提权漏洞
* 黑白鉴定入门之一款后门的分析思路
* 双向进攻:分析tcpdump DOS漏洞成因
* PWN:fastbin attack学习
* 反汇编代码还原之除数为非2的幂
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
求分享
求点赞
求在看
戳
扫一扫
3913
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
