自定义实现无模块

      时下的各种流行的注入大都需要在目标进程中装载一个DLL，多个模块会引起很多麻烦。虽然可以采取各种手法隐藏之，但隐藏终归不是很好，不能做到很彻底。稍微拉风点的就是直接操作内核对象，将模块从以加载模块列表中移除。但这个连XueTr哥哥就能轻易发现。本文讨论在ring3下如何实现无模块。该技术可以妥妥的应用于ring0。

      无模块也有不少哥哥玩过，比如比较不错的一篇文章http://www.codeproject.com/KB/threads/processinject.aspx。里面描述的方法是将整个PE镜像写入目标进程，然后手工实现重定位修正，也不是很复杂。这里采用另外一种方法，编写一种无需重定位的代码，使之在内存中随意浮动，也可正常运行。

      首先大致描述一下什么是重定位，代码编译成PE文件后，代码里对全局变量的引用，是直接用的地址。这个地址是采用的PE文件的建议装入地址为准的比如有全局变量 int a； 在某个函数中对a赋值的可能语句a=0;对应的汇编为mov [0x10001000],0。这里0x10001000即为a的地址。如果该段代码没有装入建议地址，0x10001000表示的内存，可能就不在该DLL之中，程序必然出错。为此，在生成DLL时，大都会有一个重定位段，包含那部分代码需要重定位修正。比如实际装载地址和建议装载地址的差为X，则在每处需要修正的地方都加上该偏移。以保证代码的正确性。就a的例子来说，会将程序修正成mov [0x10001000+X],0

        这里描述的自定位技术，是代码运行过程中，自动计算装入偏移，自动修正。其精髓为几句汇编代码：

call LABLE; LABLE: pop eax; mov ebx,offset LABLE; sub eax,ebx;

运用的是call指令会将之后的返回地址压栈。故在pop eax后，eax里存放的是LABLE的实际地址。 mov ebx, offset LABLE执行后，ebx里存放的是LABLE的建议装入地址。两者做差，便得到了偏移值。在以后引用全局变量时，只需加上此偏移即可。但这样的代码很难写成C语言，还会限制一个寄存器必须存储该偏移值。为了能拓展到C语言，我们可以定义与全局变量对应的局部变量，统一修正后存入局部变量，然后只用局部变量即可。为此，定义几个宏方便使用：

 #define AUTOALLOCBEGIN __asm push ebx __asm call LABLE __asm LABLE: __asm pop eax __asm lea ebx,LABLE __asm sub eax,ebx; #define AUTOALLOCWITHOUTACCESS(Des,Source) __asm mov ebx,offset Source __asm add ebx,eax __asm mov Des,ebx; #define AUTOALLOCWITHACCESS(Des,Source) __asm mov ebx,offset Source __asm add ebx,eax __asm mov ebx,[ebx] __asm mov Des,ebx; #define AUTOALLOCEND __asm pop ebx;

AUTOALLOCWITHOUTACCESS 将全局变量Source的地址 存入Des中。AUTOALLOCWITHACCESS将全局变量Source的内容存入Des中。

下面给出一个示例函数玩：

#pragma code_seg("MySeg") BOOL __stdcall PromotePrivilege() { typedef BOOL (WINAPI *ADJUSTTOKENPRIVILEGES)(HANDLE,BOOL,PTOKEN_PRIVILEGES,DWORD,PTOKEN_PRIVILEGES,PDWORD); typedef BOOL (WINAPI *OPENPROCESSTOKEN)(HANDLE,DWORD,PHANDLE); typedef BOOL (WINAPI *LOOKUPPRIVILEGEVALUEA)(LPCSTR,LPCSTR,PLUID); char* szDllName; char* szOpenProcessToken; char* szAdjustTokenPrivileges; char* szLookupPrivilegeValueA; char* szSeDebugPrivilege; HANDLE hToken; TOKEN_PRIVILEGES tp; LUID Luid; HMODULE hModule; DWORD step; BOOL bResult; LOADLIBRARYA MyLoadLibraryA; GETPROCADDRESS MyGetProcAddress; FREELIBRARY MyFreeLibrary; ADJUSTTOKENPRIVILEGES MyAdjustTokenPrivileges; OPENPROCESSTOKEN MyOpenProcessToken; LOOKUPPRIVILEGEVALUEA MyLookupPrivilegeValueA; AUTOALLOCBEGIN AUTOALLOCFUNC(LoadLibraryA) AUTOALLOCFUNC(GetProcAddress) AUTOALLOCFUNC(FreeLibrary) AUTOALLOCWITHOUTACCESS(szDllName,g_szAdvdll) AUTOALLOCWITHOUTACCESS(szOpenProcessToken,g_szOpenProcessToken) AUTOALLOCWITHOUTACCESS(szAdjustTokenPrivileges,g_szAdjustTokenPrivileges) AUTOALLOCWITHOUTACCESS(szLookupPrivilegeValueA,g_szLookupPrivilegeValueA) AUTOALLOCWITHOUTACCESS(szSeDebugPrivilege,g_szSeDebugPrivilege) AUTOALLOCEND bResult = FALSE; step = 0; hModule = MyLoadLibraryA(szDllName); if(!hModule) { step = 0; goto LEAVE;} MyAdjustTokenPrivileges = (ADJUSTTOKENPRIVILEGES)MyGetProcAddress(hModule,szAdjustTokenPrivileges); MyOpenProcessToken = (OPENPROCESSTOKEN)MyGetProcAddress(hModule,szOpenProcessToken); MyLookupPrivilegeValueA = (LOOKUPPRIVILEGEVALUEA)MyGetProcAddress(hModule,szLookupPrivilegeValueA); if(!(MyAdjustTokenPrivileges && MyOpenProcessToken && MyLookupPrivilegeValueA)) { step = 1; goto LEAVE;} bResult = MyOpenProcessToken((HANDLE)-1, TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, &hToken); if(!bResult) goto LEAVE; bResult = MyLookupPrivilegeValueA(NULL,szSeDebugPrivilege,&Luid); if(!bResult) goto LEAVE; tp.PrivilegeCount = 1; tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; tp.Privileges[0].Luid = Luid; bResult = MyAdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL); LEAVE: switch(step) { case 1: case 0: MyFreeLibrary(hModule); } return bResult; } #pragma code_seg()

 其中

#define AUTOALLOCFUNC(FuncName) AUTOALLOCWITHACCESS(My##FuncName,g_##FuncName)

#define ALLOCINMYSEG __declspec(allocate("MySeg"))

typedef HMODULE (WINAPI *LOADLIBRARYA)(LPCSTR);

 

#pragma code_seg("MySeg")
ALLOCINMYSEG
LOADLIBRARYA g_LoadLibraryA;

 

其它没给出定义的变量类似。ALLOCINMYSEG 以及#pragma code_seg("MySeg") 是为了将所用代码 变量置于一个段中，需要时把该段写入目标进程即可。这里有个小tips

1.. 导入表以及导入函数的可能存在的包装函数分别位于不同的段中，故不可直接使用导入函数。要用LOADLIBRARYA g_LoadLibraryA;来定义自己的导入表。

2.. 鉴于进程创建时ntdll.dll和kernel32.dll装载地址必定同一，故可放心的在程序中使用ntdll.dll和kernel32.dll中的函数。但要注意g_LoadLibraryA必须初始化，只需g_LoadLibraryA = LoadLibraryA;

3.. 不能用__try 保护，这样会导致生产的代码使用.text段中的保护函数。其实那个做清理工作的switch结构，放在__finally块中更合适的。一定不要break，令代码看着很亲切，眉清目秀的。

4..关闭VS给你带的什么堆栈保护了，变量检查了。这要设置如下图 啊，好可惜 不让上传

5..函数也是全局变量，但函数的调用，是通过偏移来实现的，故不需要修正。但是当引用函数地址进行某些操作时，函数也需要重定位

 

最后再给个函数例子吧

#pragma code_seg("MySeg") BOOL __stdcall MyEncryptFile(LPCTSTR szFilePath,DWORD Key) { CREATEFILEW MyCreateFileW; GETFILESIZE MyGetFileSize; CREATEFILEMAPPINGW MyCreateFileMapping; MAPVIEWOFFILE MyMapViewOfFile; UNMAPVIEWOFFILE MyUnmapViewOfFile; CLOSEHANDLE MyCloseHandle; HANDLE hFile,hFileMap; DWORD* pContent; DWORD dwFileSize; DWORD Step; BOOL bResult = FALSE; AUTOALLOCBEGIN AUTOALLOCFUNC(CreateFileW) AUTOALLOCFUNC(GetFileSize) AUTOALLOCFUNC(CreateFileMapping) AUTOALLOCFUNC(MapViewOfFile) AUTOALLOCFUNC(UnmapViewOfFile) AUTOALLOCFUNC(CloseHandle) AUTOALLOCEND hFile = MyCreateFileW(szFilePath,GENERIC_READ|GENERIC_WRITE,0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL , NULL); if(INVALID_HANDLE_VALUE == hFile) {Step = 0; goto LEAVE;} dwFileSize = MyGetFileSize(hFile,NULL); if(dwFileSize == 0){Step=1; goto LEAVE;} hFileMap = MyCreateFileMapping(hFile,NULL,PAGE_READWRITE,0,0,NULL); if(INVALID_HANDLE_VALUE == hFileMap) {Step = 2; goto LEAVE;} pContent = (DWORD*)MyMapViewOfFile(hFileMap,FILE_MAP_WRITE|FILE_MAP_READ,0,0,0); if(!pContent) {Step = 3; goto LEAVE;} for(int i=0;i< (dwFileSize/4);i++) pContent[i] ^= Key; Step = 4; bResult = TRUE; LEAVE: switch(Step) { case 4: MyUnmapViewOfFile(pContent); case 3: MyCloseHandle(hFileMap); case 2: case 1: MyCloseHandle(hFile); case 0: ; } return bResult; } #pragma code_seg()