Windows Hook 易核心编程<2>远程线程注入 上

上一期我们讲了勾子基本概念和一些简单的应用

这一期我们就来学习用用钩子技术和内存文件映射共享技术来实现远程线程插入
 
  现在网上关于这项编程技术的介绍满天飞,因为要想写出一个好的后门,该后门至少要达到高隐蔽.
防查杀,无端口,自启动等要求,而将木马以DLL的形式嵌入到系统进程中,基本上可以满足要求,而
这种远程线程注入技术也成为现代后门和木马程序的一项标准技术指标.
如果大家要想更为清晰地掌握该项编程技术,强烈推荐细读jeffery Richter的<<Windows核心技术>>.
该书个人觉得是每个学习Windows黑客编程技术爱好者的圣经.

不过,由于易语言出来的时间不长,网上用易语言具体实现这项编程技术的资料廖廖无几

今天,我们就来用易语言来实现远程线程插入:

大家知道,传统的远程线程插入是通过以下几个API来完成的;

·OpenProcess - 用于打开要寄生的目标进程。

·VirtualAllocEx/VirtualFreeEx - 用于在目标进程中分配/释放内存空间。

·WriteProcessMemory - 用于在目标进程中写入要加载的DLL名称。

·CreateRemoteThread - 远程加载DLL的核心内容，用于控制目标进程调用API函数。

·LoadLibrary - 目标进程通过调用此函数来加载病毒DLL。

这种方法虽然好,但有个缺点:只能在NT核心的系统上有效,在98中无效

并且由于易DLL的特殊性,上面的方法并不奏效,虽然可以用写入汇编码来解决问题

但也较不方便,钩子的出现为我们解决了这个难题

通过钩子实现远程线程插入的思路如下:

通过安装windows 消息钩子WH_GETMESSAGE,把待插线程代码所在的DLL注入到其他进程里
在钩子回调函数中,判断当前进程ID是否是要插入的进程ID,如果是则创建一个新线程
这个新线程函数就是我们要执行的代码所在的函数,到这里也就达到了我们的目地.

现在就产生了一个新问题,由于我们的要执行的代码是放在一个DLL里面的,创建新线程就需要加载
这个DLL,就需要知道DLL路径,还有判断当前进程ID是否是要插入的进程ID,首先也要知道要插入的
进程ID是多少等等这些信息,这就涉及到进程通讯,我们可以用文件映射技术来进行进程通讯.

文件映射主要是通过以下几个API来完成的:

*CreateFileMapping    //创建文件映射对象 ,成功返回文件映射对象句柄
   Dll命令名：CreateFileMapping
    所处动态链接库的文件名：kernel32
    在所处动态链接库中的命令名：CreateFileMappingA
    返回值类型：整数型
    参数<1>的名称为“文件映射句柄”，类型为“整数型”。注明：指定欲在其中创建映射的一个文  

        件句柄。&HFFFFFFFF&(-1)表示在内存中创建一个文件映射。
    参数<2>的名称为“安全对象”，类型为“SECURITY_ATTRIBUTES”。注明：SECURITY_ATTRIBUTES  

       指定一个安全对象，在创建文件映射时使用。如果为NULL（用ByVal As Long传递零），       

      表示使用默认安全对象。
    参数<3>的名称为“打开映射方式”，类型为“整数型”。注明：下述常数之一：;PAGE_READONLY  

       以只读方式打开映射;PAGE_READWRITE：以可读、可写方式打开映射;PAGE_WRITECOPY：为      

      写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT：为文件映射一个小节中的        

     所有页分配内存;SEC_IMAGE：文件是个可执行文件;SEC_RESERVE：为没有分配实际内存的        

    一个小节保留虚拟内存空间
    参数<4>的名称为“文件映射最大长度”，类型为“整数型”。注明：文件映射的最大长度（高32位

）。
    参数<5>的名称为“文件映射的最小长度”，类型为“整数型”。注明：文件映射的最小长度（低32

位）。如这个参数和dwMaximumSizeHigh都是零，就用磁盘文件的实际长度。
    参数<6>的名称为“映射对象名”，类型为“文本型”。注明：指定文件映射对象的名字。如存在这

个名字的一个映射，函数就会打开它。用vbNull创建一个无名的文件映射;。

*OpenFileMappingA   //打开一个已存在的文件映射对象,成功返回打开的文件映射对象句柄
  Dll命令名:OpenFileMapping
    公开
    所处动态链接库的文件名：kernel32
    在所处动态链接库中的命令名：OpenFileMappingA
    返回值类型：整数型
    参数<1>的名称为“常数”，类型为“整数型”。注明：带有前缀FILE_MAP_???的一个常数。参考

MapViewOfFile函数的dwDesiredAccess参数的说明。
    参数<2>的名称为“进程继承”，类型为“整数型”。注明：如这个函数返回的句柄能由当前进程启

动的新进程继承，则这个参数为TRUE。
    参数<3>的名称为“文件映射对象名称”，类型为“文本型”。注明：指定要打开的文件映射对象名

称;。

*MapViewOfFile /将一个文件映射对象映射到当前应用程序的地址空间
 Dll命令名：MapViewOfFile
    将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址

来进行映射文件映射在内存中的起始地址。零表示出错。会设置GetLastError
    所处动态链接库的文件名：kernel32
    在所处动态链接库中的命令名：MapViewOfFile
    返回值类型：整数型
    参数<1>的名称为“hFileMappingObject”，类型为“整数型”。
    参数<2>的名称为“dwDesiredAccess”，类型为“整数型”。
    参数<3>的名称为“dwFileOffsetHigh”，类型为“整数型”。
    参数<4>的名称为“dwFileOffsetLow”，类型为“整数型”。
    参数<5>的名称为“dwNumberOfBytesToMap”，类型为“整数型”。

通过以上API再结合易自带的写到内存(),指针到字节集(),指针到文本(),取字节集数据()等命令就可以

在进程间读写数据了.

内存文件映射技术就介绍到这里,在下面的实例中有具体应用,我就不多说了.

以资源管理器进程(explorer.exe)为例,我们来开始解析程序:

程序基本原理:
start.exe 先在内存中创建一个映射文件,把自己的线程ID和查找到的 Explorer进程ID
以及HookDL.dll的路径写到映射文件,再安装 HookDL.dll 中的 WH_GETMESSAGE 钩子,
此时,start.exe进入消息循环,直到收到被插进程发来的线程退出消息WM_QUIT
   在钩子回调函数中,首先把start.exe在内存中创建的映射文件映射到当前进程,然后
判断当前进程ID是否先前 Start.exe 查找到的 Explorer进程ID, 是的话,则
再次LoadLibrary(HookDLL.dll),并定位到其中ThreadPro函数. 此时创建一个
新线程,线程函数就是ThreadPro,该新线程首先往Start.exe消息队列放置一个线
程退出消息 WM_QUIT,导致其消息循环结束.
    此时插入线程完成..可以看到屏幕左上角不断变化的数字..说明我们的代码正在执行.
进程列表却没有Start.exe,用进程管理观察,可发现Explorer进程,的确多了个线程,且来自
HookDLL.dll ..如果希望插入Explorer的线程结束,按 Alt+L 即可...  :) 

现在我们来看看主程序代码,为照顾新手,我会逐行分析:

.版本 2
'系统核心支持库
.应用接口支持库

.程序集 窗口程序集1
.程序集变量 Explorer_PID, 整数型
.程序集变量 hhook, 整数型
.程序集变量 FileMapH, 整数型
.程序集变量 DLLPath, 文本型

.子程序 __启动窗口_创建完毕
.局部变量 nil, SECURITY_ATTRIBUTES
.局部变量 TheNodeP, 整数型
.局部变量 ThreadMessage, MSG
.局部变量 MainPath, 字节集
.局部变量 ExplorerID, 字节集
.局部变量 MainThread, 字节集
.局部变量 Mainhhook, 字节集

' 指定DLL路径
DLLPath ＝ 取运行目录 () ＋ “HookDLL.dll”

' 检查插入线程是否已经存在
FileMapH ＝ api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “hacker0058Explorer8Mazi”)
api_CloseHandle (FileMapH)

.如果真 (FileMapH ＝ 0)  '如果插入线程不存在,开始插入
    Explorer_PID ＝ 取进程PID (“explorer.exe”)  ' 这里指定要插入的进程,用到了子程序:取进

程PID()                                                  
   
   .如果真 (Explorer_PID ＝ 0)    '查找explorer失败
        信息框 (“寻找指定进程出错!”, 0, )
        结束 ()
    .如果真结束
'创建内存映射文件 
    FileMapH ＝ api_CreateFileMapping (-1, nil, #PAGE_READWRITE, 0, 100,“HookExplorer8Mazi

”) 
   
'映射到本进程空间  
 TheNodeP ＝ api_MapViewOfFile (FileMapH, #FILE_MAP_ALL_ACCESS, 0, 0, 0)
   
'写入共享数据
    ExplorerID ＝ 到字节集 (Explorer_PID)
    MainThread ＝ 到字节集 (当前线程标志符_ ())
    MainPath ＝ 到字节集 (DLLPath) ＋ { 0, 0, 0 }  ' 字符串是以两字节的0为结束标志的,所以这

里加上{ 0, 0, 0 }                                                   
    写到内存 (ExplorerID ＋ MainThread ＋ MainPath, TheNodeP, )
   
'关闭内存映射
   API_UnmapViewOfFile (TheNodeP)

'挂DLL跳板钩子  
   hMod ＝ GetMsgHookOn ()
    .如果真 (hMod ＝ 0)
        输出调试文本 (“挂DLL跳板钩子失败!”)
        api_CloseHandle (FileMapH)  ' 关闭映射文件
        结束 ()
    .如果真结束
'等待插入Explorer的新线程发来消息   
   api_GetMessage (ThreadMessage, 0, 0, 0)

'脱DLL跳板钩子  
   GetMsgHookOff ()
' 御载DLL     
    api_FreeLibrary (hMod)
' 关闭映射文件
    api_CloseHandle (FileMapH) 
  
.如果真结束
结束 ()

.子程序 取进程PID, 整数型, , 成功返回进程PID,失败返回0
.参数 标志文本, 文本型, , 进程名或窗口名
.局部变量 进程, 进程信息, , "0"
.局部变量 PID, 整数型
.局部变量 i, 整数型

PID ＝ 0
 .如果真 (倒找文本 (标志文本, “.”, , 真) ≠ -1)
    进程 ＝ 取系统进程列表 ()
    .计次循环首 (取数组成员数 (进程), i)
        .如果真 (倒找文本 (进程 [i].进程名称, 标志文本, , 真) ≠ -1)
            PID ＝ 进程 [i].进程标识符
            跳出循环 ()
        .如果真结束

    .计次循环尾 ()
 .如果真结束
 .如果真 (PID ＝ 0)
    API_取进程标识符 (api_FindWindow (0, 标志文本), PID)
 .如果真结束
返回 (PID)

============================================================

待续...