Windows内核Dll注入(一)

已于 2024-06-01 08:22:58 修改
阅读量844 收藏 22
点赞数 12
分类专栏: 云桌面-VDI 终端安全 Windows驱动开发 文章标签: windows 驱动开发 c语言
于 2024-05-31 19:34:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsinlink/article/details/139360130
版权

文章目录

Windows内核Dll注入

近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。对API的HOOK是比较简单的,微软提供了开源的代码就能够实现;因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。

在早期开发中,就实现过DLL注入的功能,不过都是基于用户层的注入来实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。本篇中分享的是基于内核的注入技术,其中内核注入主要有:

  • HOOK函数注入。
  • 远程线程注入(使用ZwCreateThreadEx)。
  • OEP注入。
  • APC注入。

下面的文章主要是针对HOOK函数的注入,这个函数是NtTestAlert,接下来分析整个实现过程。

1. NtTestAlert

HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是NtTestAlert,如下:

NTSYSAPI 
NTSTATUS
NTAPI
NtTestAlert(
);

该函数的作用是什么呢?我们知道,Windows在从内核切换到用户层的时候,就会判断线程的APC状态标记Thread->ApcState.UserApcPending,如下:

cmp     [ebx+_KTHREAD.___u12.ApcState.UserApcPending], 0

如果Thread->ApcState.UserApcPending为TRUE,那么就会对用户层的APC进行处理,那么什么情况下Thread->ApcState.UserApcPending才会被设置为TRUE呢?两个情况都满足:

  1. 调用Alertable的函数。
  2. 当前线程有用户态APC(一般放入线程APC链表中)。

Alertable的函数有如下:

DWORD SleepEx(
  DWORD dwMilliseconds,
  BOOL  bAlertable
);

DWORD WaitForSingleObjectEx(
  HANDLE hHandle,
  DWORD  dwMilliseconds,
  BOOL   bAlertable
);

这也是很多地方说的,只有在当前线程处于Alertable状态的时候,用户层APC才能被分发。

那么有没有一种办法,不用让线程调用Alertable的函数也能实现APC的分发呢?答案是有的;这个函数就是NtTestAlert,该函数的作用大致可以理解如下:

if ((AlertMode == UserMode) &&
    (IsListEmpty(&Thread->ApcState.ApcListHead[UserMode]) != TRUE)) 
{
    Thread->ApcState.UserApcPending = TRUE;
}

主要就是设置Thread->ApcState.UserApcPending = TRUE,让APC可以被调度分发。

在每个线程启动的时候,都会调用NtTestAlert来分发用户层的APC例程,如下:

0:000> k
 # Child-SP          RetAddr               Call Site
00 0000005b`aedef448 00007fff`81703f88     ntdll!NtTestAlert
01 0000005b`aedef450 00007fff`81703ea3     ntdll!_LdrpInitialize+0xac
02 0000005b`aedef4d0 00007fff`81703dce     ntdll!LdrpInitializeInternal+0x6b
03 0000005b`aedef750 00000000`00000000     ntdll!LdrInitializeThunk+0xe

因此我们找到了一个进程(线程)启动一定会调用的函数了。注入的原理就是HOOK该函数,当NtTestAlert被执行的时候,就会跳转到我们HOOK的函数,然后该函数中通过LoadLibrary加载需要注入的Dll。

2. 技术分析

首先我们需要对进程的事件进行监控,记录进程的一些信息,例如:

  • 判断该进程是否需要被注入。
  • 在一些环境中,进程被创建的时候,就可以进行注入了。

在内核中,通过注册回调来接收进程启动和退出的事件,该函数为PsSetCreateProcessNotifyRoutine,声明如下:

NTSTATUS PsSetCreateProcessNotifyRoutine(
  PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
  BOOLEAN                        Remove
);

只需要提供相关的回调函数,就可以得到进程创建和退出的通知了。

某一些情况下,在进程启动的时候并不能对进程进行HOOK,例如WOW64的进程需要在C:\Windows\SysWOW64\ntdll.dll加载之后才能注入。因此我们需要对进程模块加载需要监控,需要PsSetCreateProcessNotifyRoutine注册模块加载的监控,该函数声明如下:

NTSTATUS PsSetCreateProcessNotifyRoutine(
  PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
  BOOLEAN                        Remove
);

通过上面介绍,我们知道需要对NtTestAlert进行修改,修改内存,一般需要用到如下函数:

  • ZwReadVirtualMemory
  • ZwWriteVirtualMemory
  • ZwQueryVirtualMemory
  • ZwProtectVirtualMemory

一个困难的地方是这些函数并没有导出来,因此获取的时候会稍微比较麻烦;一般来说,有两种办法可以获取到:

  • 通过SSDT表获取到函数的地址。
  • 通过导出函数ZwAllocateVirtualMemory获取函数地址,然后再获取其他函数地址。

3. 注入实现

注入的时候又两种场景:

  • 进程启动的时候注册。
  • WOW64进程,在C:\Windows\SysWOW64\ntdll.dll被加载的时候调用。

进程启动的时候,注入调用如下:

if (BooleanFlagOn(ProcessContext->Flags, LXI_PROCESS_FLAGS_INJECT) &&
	!BooleanFlagOn(ProcessContext->Flags, LXI_PROCESS_FLAGS_WOW64))
{
	Status = LxiInjectProcess(ProcessContext);
	if (!NT_SUCCESS(Status))
	{
        //...
	}
}

C:\Windows\SysWOW64\ntdll.dll被加载的时候,注入过程如下:

if (RtlEqualUnicodeString(FullImageName, &LxiData->Wow64NtdllPath, TRUE) ||
    RtlEqualUnicodeString(FullImageName, &LxiWow64NtdllPath, TRUE))
{
	Status = LxExQueueWorkItemSync(LxiInjectOnLoadImageWroker, ProcessContext, DelayedWorkQueue);
}

VOID
LxiInjectOnLoadImageWroker(
	_In_opt_ PVOID Context
)
{
	PAGED_CODE();
	if (NULL == Context)
	{
		return;
	}

	(VOID)LxiInjectProcess((PLXI_PROCESS_CONTEXT)Context);
}

下面是对LxiInjectProcess的实现,该函数有两个点:

  • HOOK函数NtTestAlert(修改指令为JMP指令)。
  • JMP后的地址的ShellCode实现。

这里我们看一下X86环境的注入,代码大致如下:

NTSTATUS
LxiInjectLibraryX86(
	_In_ HANDLE ProcessHandle,
	_In_ PCUNICODE_STRING LibraryFileName
)
{
	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	LXI_INJECT_INFO InjectInfo = { 0 };
	PLXI_INJECT_INFO InjectCode = NULL;
	LXI_RELJUMP_INS RelJmp = { 0 };
	SIZE_T BytesWritten = 0;
	SIZE_T BytesRead = 0;

	PAGED_CODE();

	if (LibraryFileName->Length > LXI_MAX_INJ_PATH_LEN)
	{
		return STATUS_UNSUCCESSFUL;
	}
	InjectCode = (PLXI_INJECT_INFO)LxiAllocVirtualMemory(ProcessHandle, sizeof(LXI_INJECT_INFO) + sizeof(LxiInjectLib32Func), NULL);
	if (NULL == InjectCode)
	{
		return STATUS_INSUFFICIENT_RESOURCES;
	}
	InjectInfo.MovEax = 0xb8;
	InjectInfo.Param = InjectCode;
	InjectInfo.MovEcx = 0xb9;
	InjectInfo.Proc = (PVOID32)&InjectCode->InjectFunc;
	InjectInfo.CallEcx = 0xd1ff;
	InjectInfo.OldApi = (PLXI_RELJUMP_INS)(LxiData->Ntdll32Info.NtTestAlert);
	InjectInfo.Dll.Length = LibraryFileName->Length;
	InjectInfo.Dll.MaximumLength = sizeof (InjectInfo.DllBuffer);
	InjectInfo.Dll.Buffer = (ULONG)(&InjectCode->DllBuffer[0]);
	RtlCopyMemory(InjectInfo.DllBuffer, LibraryFileName->Buffer, LibraryFileName->Length);
	InjectInfo.NtProtectVirtualMemory = (PVOID32)(LxiData->Ntdll32Info.NtProtectVirtualMemory);
	InjectInfo.LdrLoadDll = (PVOID32)(LxiData->Ntdll32Info.LdrLoadDll);

	if (NULL == InjectInfo.OldApi)
	{
		return STATUS_UNSUCCESSFUL;
	}

	Status = LxiZwWriteVirtualMemory(ProcessHandle, InjectCode, &InjectInfo, sizeof (LXI_INJECT_INFO), &BytesWritten);
	if (!NT_SUCCESS(Status))
	{
		return Status;
	}
	Status = LxiZwWriteVirtualMemory(ProcessHandle, &(InjectCode->InjectFunc), (PVOID)LxiInjectLib32Func, sizeof(LxiInjectLib32Func), &BytesWritten);
	if (!NT_SUCCESS(Status))
	{
		return Status;
	}

	Status = LxiZwReadVirtualMemory(ProcessHandle, InjectInfo.OldApi, &RelJmp, sizeof(RelJmp), &BytesRead);
	if (!NT_SUCCESS(Status))
	{
		return Status;
	}
	Status = LxiZwWriteVirtualMemory(ProcessHandle, &(InjectCode->OldApiSaved), &RelJmp, sizeof(RelJmp), &BytesWritten);
	if (!NT_SUCCESS(Status))
	{
		return Status;
	}

	if (RelJmp.Jmp != 0xe9)
	{
		ULONG OldAccess = 0;
		SIZE_T MemorySize = sizeof(RelJmp);
		PVOID BaseAddress = InjectInfo.OldApi;
		Status = LxiZwProtectVirtualMemory(ProcessHandle, &BaseAddress, &MemorySize, PAGE_EXECUTE_READWRITE, &OldAccess);
		if (!NT_SUCCESS(Status))
		{
			return Status;
		}
		RelJmp.Jmp = 0xe9;
		RelJmp.Target = (ULONG)InjectCode - (ULONG)(InjectInfo.OldApi) - sizeof(RelJmp);

		Status = LxiZwWriteVirtualMemory(ProcessHandle, InjectInfo.OldApi, &RelJmp, sizeof(RelJmp), &BytesWritten);

		BaseAddress = InjectInfo.OldApi;
		(VOID)LxiZwProtectVirtualMemory(ProcessHandle, &BaseAddress, &MemorySize, OldAccess, &OldAccess);
	}

	return Status;
}

至于ShellCode,在后续文章中专门分析怎么生成ShellCode,在此不再详述。

4. 应用与参考

Dll动态库的注入,在很多场景下面都非常有用;在Windows平台下面很多产品都还是依赖DLL注入和API的HOOK来实现的,比如:

  • 沙盒技术(最近几年突然火起来的零信任,一机两用等)。
  • 云桌面技术(比如3D,音视频重定向等)。
  • 安全产品(比如安全监控,权限管控等)。

其他参考,可以参见如下链接:

三人联盟组
关注
  • 12
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++无检测内核注入纯源码.zip
06-07
分享就是乐趣
安全之路 —— 利用内核函数实现注入系统进程
dengdao1372的博客
03-26 359
简介 在之前的文章中曾说过利用CreateRemoteThread函数进行远线程注入是最经典的一种方式。但是这种方式却无法成功注入系统进程,因为系统进程是处在SESSION0高权限级别的会话层,用户进程在执行CreateRemoteThread函数时会失败。所以经过前辈们的研究发现,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数...
珊瑚虫外挂原理分析【转贴】
P2P 研究 思考
03-23 2043
珊瑚虫外挂原理分析作者: RunJin     runjin000@yahoo.com.cn分析工具: softice , OD我的操作系统: win 2000 sp4 , win 98分析对象: QQ2005贺岁版 珊瑚虫外挂为了方便分析,我先把CoralQQ.dll和coralqq.exe先脱壳,这两个文件加的都是超弱壳,脱壳过程不在这里多说. 
APC注入以及几种实现方式
include_voidmain的博客
08-02 2057
APC注入以及几种实现方式
shellcode加载方式
weixin_50217210的博客
10-16 327
注:lea是“Load Effective Address ”的缩写 --加载有效地址。源文件->添加->资源->导入->CS生成的.bin文件->资源类型(xxx)在resource.h查看资源ID(#define IDR_XXX1)5.线程池等待对象回调函数执行--我最喜欢用的方式。这也是一个优质的执行方法,值得深入研究一下。7.NtTestAlert+APC执行。6.创建纤程(Fiber)执行。纤程是比线程更小的执行单位。
DLL巧妙的绕过被VMP壳HOOK的ZwProtectVirtualMemory
JUST DO IT.
11-24 4373
被VMP HOOK的ZwProtectVirtualMemory介绍 ZwProtectVirtualMemory,是一个修改内存输入的API函数,VirtualProtect和VirtualProtectEx修改内存属性都会通过ZwProtectVirtualMemory这个API函数. 在VMP壳的程序中,注入DLL进行一定的内存修改,但会发现,对WINAPI或者程序的代码段等进行WriteProcessMemory操作,会发现修改错误,错误提示是没有修改权限. 而WriteProcessMemo
N种内核注入DLL的思路及实现
lwglucky的专栏
03-18 7503
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。     若
Windows系统的dll注入
m0_68937036的博客
03-03 1616
Windows系统的dll注入
32位和64位系统内核函数调用从ZwProtectVirtualMemory到NtProtectVirtualMemory
weixin_30624825的博客
09-01 970
0x01 前言   我们知道R3层中,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtectVirtualMemory   我们先看看ZwProtectVirtualMemor...
windows-DLL注入
08-14
DLL注入是指在不修改目标进程的情况下,将一个DLL加载到目标进程中,使得目标进程能够执行注入DLL中定义的函数。这种技术可以用来监控或改变目标进程的行为,或者提供额外的功能。 **DLL注入的工作原理** DLL...
内核注入DLL驱动
11-14
理解这部分代码需要深厚的Windows内核编程知识,包括系统调用、内核对象管理、中断描述符表(IDT)和SSDT的处理等。 总的来说,内核注入DLL驱动是一种高技术含量的编程技巧,涉及了操作系统底层原理、驱动开发和...
DLL驱动内核注入源码
03-22
驱动内核注入是一种高级的系统编程技术,常用于软件开发中的调试、监控或者恶意软件活动中。...但开发者必须具备深厚的系统编程基础,对Windows内核有深入理解,并且严格遵守安全规范,以避免潜在的安全问题。
Kernel_Inject:内核注入DLL
02-15
Windows操作系统中,内核注入通常指的是将一个动态链接库(DLL)的代码注入到操作系统内核空间的过程,以便在内核级别执行自定义功能。这种技术允许开发者绕过用户模式下的某些限制,获取更广泛的系统控制权。 ...
ZwProtectVirtualMemory使用出现的问题和
被遗弃的庸才博客
08-10 677
需要注意的是这个函数未文档话,网上随便找了个定义,发现报错0xC00000F1注意第三个参数应该是SIZE_T*类型了,PULONG传进去如果复制的时候是ULONG,前面的高4位不会清零会出错。
2024年Go最新GoPass系列免杀基础(一)_go语言免杀,Golang框架体系架构的知识
最新发布
2401_84910977的博客
05-11 1049
前提 Shellcode 已测试过单独运行不被拦截,那么现在需要排查的这个加密是不是太过简单,而且这样需要考虑到,大批量用户使用时,很多十六进制都是固定的,那么也会被特征标记,如果全家桶拦了,相信你也可以动手改一改,你可以将 ascii 码加上一个数如 252+200=457,载入时,再减去。而且每个十六进制占一位,并且自己有位置编号,可以将他们提出来总结,并且 ascii 编码(\xfc为252 \xbb为187 \xaa为170),这样我们有 ascii 码,有数量,有位置,就可以还原回去。
Windows 中的三种常用 DLL 注入技术
langshanglibie的专栏
03-30 6217
Windows 中的三种常用 DLL 注入技术 一、DLL 注入技术的用途 二、DLL 注入基础 2.1 进程虚拟地址空间 2.2 读写其他进程的内存 2.3 LoadLibraryW 函数 三、APC 注入 四、远程线程注入 五、Windows 钩子 六、全局钩子注入 一、DLL 注入技术的用途 在 Windows 中,每个进程都有自己私有的虚拟地址空间。所以,一个进程没法访问另一个进程的内存。 但是,很多时候我们还是需要跨越进程的边界,来访问另一个进程的地址空
驱动开发内核ShellCode线程注入
CSDN
06-14 7800
还记得`《驱动开发内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
再谈Linux内核模块注入(没有kernel header也能hack kernel)
Netfilter
05-07 5572
在前面的一篇文章中,我简单描述了一种Linux内核模块注入的方法: https://blog.csdn.net/dog250/article/details/105978803 本文,我们抛开Rootkit这个刺眼的字样,看看这种注入机制还有什么新的玩法。 我们知道,编写Linux内核模块必须要有对应版本的kernel header,并且版本号必须100%匹配,一个字都不能差,这对Linux内核模...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值