dll注入与代码注入

学习《逆向工程核心原理》，在x64下dll注入与代码注入。

dll注入主要用到CreateRemoteThread，

HANDLE WINAPI CreateRemoteThread(

__in HANDLE hProcess,

__in LPSECURITY_ATTRIBUTES lpThreadAttributes,

__in SIZE_T dwStackSize,

__in LPTHREAD_START_ROUTINE lpStartAddress,

__in LPVOID lpParameter,

__in DWORD dwCreationFlags,

__out LPDWORD lpThreadId

);

利用获取到的LoadLibraryW地址作为lpStartAddress，需注入进程中分配保存的dll名称作为lpParameter，实现动态加载dll

代码注入类似，主要用到VirtualAllocEx，WriteProcessMemory，在需注入的进程中开辟空间，写入代码，变量。

#include "pch.h"
#include <windows.h>
#include <tchar.h>
#include <tlhelp32.h>
#include <stdio.h>
#include <shlobj.h>
extern void checkAdmin();

//遍历输出进程pid
int TraversalProcess() {
    HANDLE hProceessnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProceessnap == INVALID_HANDLE_VALUE)
    {
        printf_s("创建进行快照失败
");
        return -1;
    }
    else
    {
        PROCESSENTRY32 pe32;
        pe32.dwSize = sizeof(pe32);
        BOOL hProcess = Process32First(hProceessnap, &pe32);
        while (hProcess)
        {
            /*WCHAR * ProcessName =(WCHAR *)L"ProcessID.exe";
            if (!wcscmp(pe32.szExeFile, ProcessName))
            {*/
                printf("进程名：%-10ls ----------------进程ID：%6d
", pe32.szExeFile, pe32.th32ProcessID);
            /*    break;
            }*/
            hProcess = Process32Next(hProceessnap, &pe32);
        }
    }
    CloseHandle(hProceessnap);
}

//设置权限
BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege)
{
    TOKEN_PRIVILEGES tp;
    HANDLE hToken;
    LUID luid;

    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
        &hToken))
    {
        _tprintf(L"OpenProcessToken error: %u
", GetLastError());
        return FALSE;
    }

    if (!LookupPrivilegeValue(NULL,           // lookup privilege on local system
        lpszPrivilege,  // privilege to lookup 
        &luid))        // receives LUID of privilege
    {
        _tprintf(L"LookupPrivilegeValue error: %u
", GetLastError());
        return FALSE;
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if (bEnablePrivilege)
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        tp.Privileges[0].Attributes = 0;

    // Enable the privilege or disable all privileges.
    if (!AdjustTokenPrivileges(hToken,
        FALSE,
        &tp,
        sizeof(TOKEN_PRIVILEGES),
        (PTOKEN_PRIVILEGES)NULL,
        (PDWORD)NULL))
    {
        _tprintf(L"AdjustTokenPrivileges error: %u
", GetLastError());
        return FALSE;
    }

    if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
    {
        _tprintf(L"The token does not have the specified privilege. 
");
        return FALSE;
    }

    return TRUE;
}

//dll注入
BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath)
{
    HANDLE hProcess = NULL, hThread = NULL;
    HMODULE hMod = NULL;
    LPVOID pRemoteBuf = NULL;
    DWORD dwBufSize = (DWORD)(_tcslen(szDllPath) + 1) * sizeof(TCHAR);
    LPTHREAD_START_ROUTINE pThreadProc;

    // #1. 使用dwPID请求对象进程(notepad.exe)的HANDLE。
    if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
    {
        _tprintf(L"OpenProcess(%d) failed!!! [%d]
", dwPID, GetLastError());
        return FALSE;
    }

    // #2. 在目标进程(notepad.exe)内存中分配与szDllName大小相同的内存。
    pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, PAGE_READWRITE);

    // #3. 在分配的内存中使用dll路径
    WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, NULL);

    // #4. 请求到LoadLibraryA() API地址。
    hMod = GetModuleHandle(L"kernel32.dll");
    pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hMod, "LoadLibraryW");

    // #5. 在notepad.exe进程中运行线程
    hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL);
    //通过CreateRemoteThread，调用pThreadProc，即LoadLibraryW，参数为在需注入进程中开辟的内存（存储了dll路径）

    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);
    CloseHandle(hProcess);

    return TRUE;
}
//卸载dll
BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName)
{
    BOOL bMore = FALSE, bFound = FALSE;
    HANDLE hSnapshot, hProcess, hThread;
    HMODULE hModule = NULL;
    MODULEENTRY32 me = { sizeof(me) };
    LPTHREAD_START_ROUTINE pThreadProc;
    // dwPID = notepad 进程 ID
    // 使用TH32CS_SNAPMODULE参数获得载入notepad程序的DLL名称
    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwPID);

    bMore = Module32First(hSnapshot, &me);
    for (; bMore; bMore = Module32Next(hSnapshot, &me))
    {
        if (!_tcsicmp((LPCTSTR)me.szModule, szDllName) ||
            !_tcsicmp((LPCTSTR)me.szExePath, szDllName))
        {
            bFound = TRUE;
            break;
        }
    }

    if (!bFound)
    {
        CloseHandle(hSnapshot);
        return FALSE;
    }

    if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPID)))
    {
        _tprintf(L"OpenProcess(%d) failed!!! [%d]
", dwPID, GetLastError());
        return FALSE;
    }

    hModule = GetModuleHandle(L"kernel32.dll");
    pThreadProc = (LPTHREAD_START_ROUTINE)GetProcAddress(hModule, "FreeLibrary");
    hThread = CreateRemoteThread(hProcess, NULL, 0,
        pThreadProc, me.modBaseAddr,
        0, NULL);
    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);
    CloseHandle(hProcess);
    CloseHandle(hSnapshot);

    return TRUE;
}


//代码注入所需结构体
typedef struct _THREAD_PARAM
{
    FARPROC pFunc[2];               // LoadLibraryA(), GetProcAddress()
    char    szBuf[4][128];          // "user32.dll", "MessageBoxA", "www.reversecore.com", "ReverseCore"
} THREAD_PARAM, *PTHREAD_PARAM;

typedef HMODULE(WINAPI *PFLOADLIBRARYA)
(
    LPCSTR lpLibFileName
    );

typedef FARPROC(WINAPI *PFGETPROCADDRESS)
(
    HMODULE hModule,
    LPCSTR lpProcName
    );

typedef int (WINAPI *PFMESSAGEBOXA)
(
    HWND hWnd,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType
    );

//需注入的代码
DWORD WINAPI ThreadProc(LPVOID lParam)
{
    PTHREAD_PARAM   pParam = (PTHREAD_PARAM)lParam;
    HMODULE         hMod = NULL;
    FARPROC         pFunc = NULL;
    //调用 LoadLibrary()  加载 "user32.dll"
    hMod = ((PFLOADLIBRARYA)pParam->pFunc[0])(pParam->szBuf[0]);    // "user32.dll"
    if (!hMod)
        return 1;

    //调用 GetProcAddress() 获取"MessageBoxA"
    pFunc = (FARPROC)((PFGETPROCADDRESS)pParam->pFunc[1])(hMod, pParam->szBuf[1]);  // "MessageBoxA"
    if (!pFunc)
        return 1;

    // 调用MessageBoxA()
    ((PFMESSAGEBOXA)pFunc)(NULL, pParam->szBuf[2], pParam->szBuf[3], MB_OK);
    return 0;
}

//实现代码注入
BOOL InjectCode(DWORD dwPID)
{
    HMODULE         hMod = NULL;
    THREAD_PARAM    param = { 0, };
    HANDLE          hProcess = NULL;
    HANDLE          hThread = NULL;
    LPVOID          pRemoteBuf[2] = { 0, };
    DWORD           dwSize = 0;

    hMod = GetModuleHandleA("kernel32.dll");

    // set THREAD_PARAM   
    param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA");
    param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress");
    strcpy_s(param.szBuf[0], "user32.dll");
    strcpy_s(param.szBuf[1], "MessageBoxA");
    strcpy_s(param.szBuf[2], "这是code inject");
    strcpy_s(param.szBuf[3], "好开心！");

    // Open Process
    if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS,   // dwDesiredAccess
        FALSE,                // bInheritHandle
        dwPID)))             // dwProcessId
    {
        printf("OpenProcess() fail : err_code = %d
", GetLastError());
        return FALSE;
    }

    // Allocation for THREAD_PARAM       写入代码注入所需的data
    dwSize = sizeof(THREAD_PARAM);
    if (!(pRemoteBuf[0] = VirtualAllocEx(hProcess,          // hProcess
        NULL,                 // lpAddress
        dwSize,               // dwSize
        MEM_COMMIT,           // flAllocationType
        PAGE_READWRITE)))    // flProtect
    {
        printf("VirtualAllocEx() fail : err_code = %d
", GetLastError());
        return FALSE;
    }
    SIZE_T sz = 0;
    if (!WriteProcessMemory(hProcess,                       // hProcess
        pRemoteBuf[0],                  // lpBaseAddress
        (LPVOID)&param,                 // lpBuffer
        dwSize,                         // nSize
        &sz))                         // [out] lpNumberOfBytesWritten
    {
        printf("写入大小:%d
", sz);
        printf("THREAD_PARAM  WriteProcessMemory() fail : err_code = %d
", GetLastError());
        return FALSE;
    }

    // Allocation for ThreadProc()     写入代码
    dwSize = abs((int)((DWORD)InjectCode - (DWORD)ThreadProc));
    
    printf("dwSize:%d
", dwSize);
    //dwSize = 1024;
    if (!(pRemoteBuf[1] = VirtualAllocEx(hProcess,          // hProcess
        NULL,                 // lpAddress
        dwSize,               // dwSize
        MEM_COMMIT,           // flAllocationType
        PAGE_EXECUTE_READWRITE)))    // flProtect
    {
        printf("VirtualAllocEx() fail : err_code = %d
", GetLastError());
        return FALSE;
    }
    sz = 0;
    if (!WriteProcessMemory(hProcess,                       // hProcess
        pRemoteBuf[1],                  // lpBaseAddress
        (LPVOID)ThreadProc,             // lpBuffer
        dwSize,                         // nSize
        &sz))                         // [out] lpNumberOfBytesWritten
    {
        printf("写入大小:%d
", sz);
        printf("ThreadProc() WriteProcessMemory() fail : err_code = %d
", GetLastError());
        return FALSE;
    }
    printf("ThreadProc()写入大小:%d
", sz);
    if (!(hThread = CreateRemoteThread(hProcess,            // hProcess
        NULL,                // lpThreadAttributes
        0,                   // dwStackSize
        (LPTHREAD_START_ROUTINE)pRemoteBuf[1],     // dwStackSize
        pRemoteBuf[0],       // lpParameter
        0,                   // dwCreationFlags
        NULL)))             // lpThreadId
    {
        printf("CreateRemoteThread() fail : err_code = %d
", GetLastError());
        return FALSE;
    }

    WaitForSingleObject(hThread, INFINITE);
    CloseHandle(hThread);
    CloseHandle(hProcess);
    printf("code inject end
");
    return TRUE;
}


int _tmain(int argc, TCHAR *argv[])
{
    /*if (argc != 3)
    {
        _tprintf(L"USAGE : %s <pid> <dll_path>
", argv[0]);
        return 1;
    }*/
    // change privilege
      // 判断当前进程是否以管理员身份运行
    checkAdmin();
    /*if (!SetPrivilege(SE_DEBUG_NAME, TRUE))
        return 1;*/
    //TraversalProcess();
    TCHAR pid[10];
    TCHAR path[MAX_PATH];
    system("tasklist");
    printf("ok
");
    printf("输入要注入的进程pid：
");
    scanf_s("%ls", pid, 10);
    printf("请选择功能：1.dll注入 2.代码注入
");
    int flag = 0;
    scanf_s("%d", &flag, 1);
    if (flag == 1) {
    printf("输入要注入的dll路径：");
    scanf_s("%ls", path,MAX_PATH);
    // inject dll
    if (InjectDll((DWORD)_tstol(pid), path))
        _tprintf(L"InjectDll("%s") success!!!
", path);
    else
        _tprintf(L"InjectDll("%s") failed!!!
", path);
    printf("输入q 卸载dll
");
    while (getchar() != 'q');
    TCHAR *p = _tcsrchr(path, '\');
    if(EjectDll((DWORD)_tstol(pid), p+1))
        printf("卸载dll成功！
");
    else 
    {
        printf("卸载失败！
");
    }

    system("pause");
    return 0;
    }
    else if (flag == 2)
    {
        InjectCode((DWORD)_tstol(pid));
        system("pause");
        return 0;
    }
    else
    {
        system("pause");
        return 0;
    }
}

判断当前运行时的权限，以管理员身份运行。

BOOL    IsAdmin(HANDLE hProcess)
{
    HANDLE hToken = NULL;
    OpenProcessToken(hProcess, TOKEN_QUERY, &hToken);

    TOKEN_ELEVATION_TYPE tokenType = TokenElevationTypeDefault; // 用于接收令牌类型

    DWORD dwRetSize = 0; // 用于接收函数输出信息的字节数

    // 2. 查询进程令牌中的权限提升值.( 这个值会记录当前的令牌是何种类型( 细节在17_权限管理_令牌的获取.cpp ) )
    GetTokenInformation(hToken,
        TokenElevationType,// 获取令牌的当前提升等级
        &tokenType,
        sizeof(tokenType),
        &dwRetSize // 所需缓冲区的字节数
    );


    // 根据令牌的类型来输出相应的信息
    if (TokenElevationTypeFull == tokenType) {
        // 3. 如果令牌是TokenElevationTypeFull , 则拥有至高无上的能力,可以给令牌添加任何特权
        printf("管理员账户,并拥有全部的权限,可以给令牌添加任何特权
");
        return TRUE;
    }
    // 4. 如果是其他的, 则需要以管理员身份重新运行本进程. 这样就能以第三步的方法解决剩下的问题.
    else if (TokenElevationTypeDefault == tokenType) {
        printf("默认用户, 可能是一个普通用户, 可能是关闭UAC时登录的管理员用户
");

        // 调用系统函数IsUserAnAdmin, 进一步确定是普通用户还是管理员用户
        return IsUserAnAdmin();
    }
    else if (TokenElevationTypeLimited == tokenType) {

        // 判断受限制的用户是管理员
        // 如果是管理员, 则这个令牌中会保存有管理员的SID

        // 1. 获取系统内键管理员用户的SID
        SID adminSid;
        DWORD dwSize = sizeof(adminSid);
        CreateWellKnownSid(WinBuiltinAdministratorsSid, // 获取SID的类型,这里是系统内键管理员
            NULL, // 传NULL,获取本地计算机的管理员
            &adminSid,// 函数输出的管理员SID
            &dwSize // 输入结构的大小,也作为输出
        );

        // 获取本令牌的连接令牌(受限制的令牌都会有一个连接的令牌,受限制的令牌正式由主令牌所创建的. )
        TOKEN_LINKED_TOKEN linkToken;
        GetTokenInformation(hToken,
            TokenLinkedToken, // 获取连接的令牌句柄
            &linkToken,
            sizeof(linkToken),
            &dwSize
        );

        // 在连接的令牌中查找是否具有管理员的SID
        BOOL    bIsContain = FALSE; // 用于保存是否包含.
        CheckTokenMembership(linkToken.LinkedToken, // 在这个令牌中检查
            &adminSid,             // 检查令牌中是否包含此SID
            &bIsContain);           // 输出TRUE则包含,反之不包含



        if (bIsContain) {
            printf("权限被阉割的受限制管理员账户, 部分权限被移处理
");
        }


        return bIsContain; // 不是以管理员权限运行
    }

    return FALSE;
}

void checkAdmin() {
    if (!IsAdmin(GetCurrentProcess())) {

        // 以管理员身份运行本进程
        //  1 获取本进程的文件路径.
        TCHAR path[MAX_PATH] = { 0 }; // 需要初始化
        DWORD dwPathSize = MAX_PATH;
        QueryFullProcessImageName(GetCurrentProcess(), 0,
            path,
            &dwPathSize);

        // 2 调用创建进程的API运行本进程.
        ShellExecute(NULL,            // 窗口句柄,没有则填NULL
            _T("runas"),   // 以管理员身份运行的重要参数
            path,            // 所有运行的程序的路径(这里是本进程)
            NULL,            // 命令行参数
            NULL,            // 新进程的工作目录的路径
            SW_SHOW           // 创建后的显示标志(最小化,最大化, 显示,隐藏等)
        );

        // 退出本进程
        ExitProcess(0);
    }
}