学逆向论坛

找回密码
立即注册

只需一步,快速开始

发新帖

2万

积分

41

好友

1157

主题
发表于 2022-12-19 09:47:19 | 查看: 859| 回复: 1
1.远程线程注入
原理:利用CreateRemoteThread()函数,将自己创建的的线程加载到远程空间进程里去执行。

CreateRemoteThread function (processthreadsapi.h) - Win32 apps | Microsoft Docs

注入流程:

OpenProcess 打开被注入进程句柄。
VirtualAllocEx 在注入进程里申请空间,用于存放注入插件路径的字符串,不然在注入进程里找不到参数。
WriteProcessMemory 往申请的空间里写路径字符串
CreateRemoteThread 注入进程,函数第四个参数写LoadLibrary,因为LoadLibrary函数地址在Kernel32.dll中,在每个进程中映射地址都一样,所以不需要再去注入进程查找该函数地址了。第五个参数写路径字符串地址,为LoadLibrary函数的参数。
WaitForSingleObject 等待线程执行完成返回,VirtualFreeEx释放申请空间。
2.消息钩子注入
原理:钩子是windows中消息处理一个机制,通过安装各种钩子,来监视系统里的消息传递,以及在这些消息到达目标窗口程序之前处理它们。用SetWindowsHookEx()这个API,可以设置的自己钩子,将DLL注入到该进程。只适用带窗口界面的进程注入。

SetWindowsHookExA function (winuser.h) - Win32 apps | Microsoft Docs

注入流程:

编写DLL,显式导出需要执行的注入函数。
先自己加载该DLL,LoadLibrary获取模块地址,GetProcAddress获取导出函数地址。
根据待注入的进程id,GetThreadId来获取其当前线程的id。
SetWindowsHookEx,第一个参数一般是WH_GETMESSAGE,第二个参数是导出函数地址,第三个是模块地址,第四个是线程id。
Anti消息钩子注入:

SetWindowsHookEx在内核中大概流程是:

NtUserCallNextHookEx->UserCallNextHookEx->co_HOOK_CallHookNext->co_IntCallHookProc->KeUserModeCallback

KeUserModeCallback从R0返回R3,执行用户的回调函数。可以hook该函数,过滤掉回调函数;可以hook NtUserSetWindowsHookEx函数防止键盘钩子。

3.输入法注入
原理:切换输入法时,windows会把当前输入法所需要的ime文件装载到当前进程中,这个Ime文件类似Dll,微软提供了开发框架。在这个Ime中可以加载注入插件,从而注入目的进程。缺点很多:目的进程需要加载输入法场景,大概率是需要UI界面;注入时机不确定;很容易被检测出来

注入流程:

在IMESetPubString里设置Loadlibrary。
输入法安装到系统里,把ime文件写入目录C:\WINDOWS\system32后调用ImmInstallIME,参数一写ime文件路径,参数二写输入法名称。
4.注册表注入
原理:Windows 系统中以下注册表键值,会在EXE文件的启动加载,注入时间等同User32.dll。如果有多个DLL文件,需要用逗号或者空格隔开多个DLL文件的路径。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

注入流程:

1.写注册表

5.EIP注入
原理:挂起目的进程,开启空间,把二进制机器指令和数据写进去,修改EIP强行跳转到注入指令处,然后跳转回来。缺点是,兼容性不好。

注入流程:

OpenProcess获取目的进程句柄,OpenThread获取线程id,SuspendThread挂起线程
GetThreadContext获取线程上下文,主要是为了获取eip
VirtualAllocEx分配空间,WriteProcessMemory写注入后需要执行的机器码,路径数据
修改线程上下文eip,SetThreadContext 设置线程上下文
ResumeThread恢复线程
6.APC注入
原理:利用线程被唤醒时,APC中的注册函数会被执行的机制,以此去执行我们的DLL加载代码,进而完成DLL注入。APC全称是,异步过程调用;APC队列是线程状态改变时待执行的函数队列。缺点是:待执行线程必须进入警惕状态,类似调用SleepEx()或者WaitForSingleObjectEx()。操作系统有两个APC,user和系统的,分别可对应应用层,内核注入。

QueueUserAPC function (processthreadsapi.h) - Win32 apps | Microsoft Docs

注入流程:

OpenProcess打开注入进程,VirtualAllocEx申请存放插件路径字符串的空间,WriteProcessMemory写进去。
OpenThread或者其他方式获取线程句柄。
QueueUserAPC插入APC函数,参数1填LoadLibrary函数指针,参数2填线程句柄,参数3填注册函数参数,也就是字符串路径。
7.SSDT替换
原理:内核中有两个系统服务描述符表,用于处理应用层下发的各个API操作请求,比如当执行ReadFile时候,通过Nt*系列函数,最终根据需要调用的服务号,在SSDT表中查找服务函数地址,从而跳转调用。修改SSDT表,让函数执行之前先执行注入代码,再调用原函数,那么即可实现注入。

SSDT数组内维护了大量服务函数,可以用多个角度切入注入。例如hook NtCreateThread函数这类,在创建进程时机所需要调用的服务函数。

因为自己对这方面不熟悉,故不能写出注入流程。

总结
以上注入方法是目前主流通用手段,既然能行得通,那么也会有对应的防注入的手段,与其知道方法,不如知道本质。

注入无非是想尽各种办法让进程执行被注入代码,或通过加载dll,或通过直接修改PE文件,或直接写入机器码等等,最根本的还是需要熟悉windows创建进程,进程初始化等流程机制,思考如何可以为我所用,方能自己摸索出别出心裁的注入方法。

温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046
发表于 2022-12-24 08:04:13
感谢楼主分享,先收藏一波

小黑屋|手机版|站务邮箱|学逆向论坛 ( 粤ICP备2021023307号 )|网站地图

GMT+8, 2024-3-29 10:37 , Processed in 0.151293 second(s), 42 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表