为什么要写这篇文章
1,如果你想注入带窗体的dll,C#写界面比C++容易的多;
2,或许你想利用.net的某些功能,比如利用.Net Remoting从外部控制被注入的dll;
3,或许你是一个C#程序员,使用C#的时候总感觉更舒适些,比如笔者。同时,你希望必要时也能在宿主中调用C++函数,提供更大的灵活性,本文的方法也能做到。
注入托管dll的不同之处
首先,为什么托管dll 不能像非托管dll那样用LoadLibrary注入? 我们知道,.net语言,如C#,VB.net等,都是运行在CLR(公共语言运行时)上的,也就是我们通常所说的虚拟机,而我们所说的非托管进程是没有加载虚拟机的。那为什么托管dll一定要在CLR上运行?托管dll虽然符合windows的PE格式规范,但是代码是以IL的形式保存在.Text 区的,而不是机器码,CLR会在运行时JIT编译成机器码再交给操作系统执行,这也就为什么托管代码称之为”托管”的意义。
所以,要想注入托管dll,首先需要在目标进程中启动CLR,然后让CLR来加载managed dll。
注入的方式
首先,我们注入一个非托管的dll,再通过它加载CLR并加载托管dll。所以工程需要3个模块:注入器,一个注入的非托管dll和注入的托管dll。
我们首先看如何注入非托管dll,这里是通过远程线程来实现的,如果你已经熟悉这个技术,可以跳过:
InjectDemo.cpp:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
int _tmain(int argc, _TCHAR* argv[]){ int pid; void *pNativeDllRemote; FARPROC pLoadLibrary; TCHAR szNativeDllPath[_MAX_PATH]=_T("D:\\Code\\InjectDemo\\Debug\\NativeDll.dll"); cout<<"input the process id to inject"<<endl; cin>>pid; HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,0,pid); if(hProcess==0) return 1; HMODULE hKernel32 = ::GetModuleHandle(_T("Kernel32")); if(sizeof(TCHAR)==2) pLoadLibrary= ::GetProcAddress(hKernel32,"LoadLibraryW"); //if path is unicode, use "LoadLibraryW" else pLoadLibrary= ::GetProcAddress(hKernel32,"LoadLibraryA"); pNativeDllRemote=VirtualAllocEx(hProcess,NULL,sizeof(szNativeDllPath),MEM_COMMIT,PAGE_READWRITE); ::WriteProcessMemory(hProcess,pNativeDllRemote,(void*)szNativeDllPath,sizeof(szNativeDllPath),NULL); HANDLE hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadLibrary,pNativeDllRemote,0,NULL); ::WaitForSingleObject(hThread,INFINITE); //DWORD exitcode; //GetExitCodeThread(hThread,&exitcode); ::CloseHandle(hThread); return 0;} |
这段代码通过远程线程注入Native.dll,网上这方面文章很多,也可以根据不同的需要采用服务输入法或者Hook等方式注入。需要注意的是,我们通过GetProcAddress获取LoadLibrary的函数地址,事实上获取的是注入器中该函数的虚拟地址,而不是宿主的。由于LoadLibrary函数位于系统dll中,在每个进程中都被加载到相同的虚拟地址上,所以我们才能这么做。LoadLibrary函数的参数,dll的路径字符串需要通过VirtualAllocEx和WriteProcessMemory在宿主进程上创建,而不能把注入器上的字符串地址传给LoadLibrary。总之,必须记住的一点是,远程线程是在另一个虚拟地址空间上执行的,远程执行的函数体本身或者他引用的虚拟地址都不能是注入器进程中的虚拟地址,而必须是宿主进程的虚拟地址。
再来看被注入的非托管的NativeDll.dll的代码:
NativeDll.cpp:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
|
#include <windows.h>#include "stdafx.h"#include "NativeDll.h"#include "MSCorEE.h"#include "metahost.h"DWORD CALLBACK StartTheDotNetRuntime(LPVOID lp){ HRESULT hr = S_OK; ICLRMetaHost *m_pMetaHost = NULL; ICLRRuntimeInfo *m_pRuntimeInfo = NULL; ICLRRuntimeHost *pClrHost = NULL; hr = CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (LPVOID*) &m_pMetaHost); if (hr != S_OK) return hr; hr = m_pMetaHost->GetRuntime (L"v4.0.30319", IID_ICLRRuntimeInfo, (LPVOID*) &m_pRuntimeInfo); if (hr != S_OK) return hr; hr = m_pRuntimeInfo->GetInterface(CLSID_CLRRuntimeHost, IID_ICLRRuntimeHost, (LPVOID*) &pClrHost ); if (FAILED(hr)) return hr; HRESULT hrStart = pClrHost->Start(); DWORD dwRet = 0; hr = pClrHost->ExecuteInDefaultAppDomain( L"d:\\Code\\InjectDemo\\Debug\\ManagedDll.dll", L"ManagedDll.Class1", L"Start", L"nothing to post", &dwRet); hr = pClrHost->Stop(); pClrHost->Release(); return S_OK;}BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved){switch(fdwReason) { case DLL_PROCESS_ATTACH: CreateThread(0,0,StartTheDotNetRuntime,0,0,0); break; case DLL_THREAD_ATTACH: break; case DLL_THREAD_DETACH: break; case DLL_PROCESS_DETACH: break; default: break; } return true;} |
这段代码是本文的重点,我们在NativeDll.dll的DllMain函数中创建一个线程来加载加载CLR,CLR事实上是一组COM服务器,为了可以调用它们,我们需要引用头文件 "MSCorEE.h"和"metahost.h",并在链接器中添加对MSCorEE.lib的链接。 GetRuntime函数用于指定加载的CLR的版本,需要填写完整的版本号,根据我的测试,2.0和4.0可以成功加载,但是3.5似乎不行。在成功启动CLR后,执行ExecuteInDefaultAppDomain加载指定的托管dll并执行它的静态方法。执行结束后,停止并释放CLR。
然后,在托管的ManagedDll.dll中,我们可以打开一个窗口:
Class1.cs:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
using System.Windows.Forms;namespace ManagedDll{ public class Class1 { public static int Start(string argument) { Application.Run(new MainForm()); return 0; } }} |
或者开启一个.net Remoting服务,这样注入器就可以在外部控制该进程了:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
using System.Threading;using System.Runtime.Remoting; namespace ManagedDll{ public class Class1 { public static int Start(string argument) { RemotingConfiguration.Configure("ManagedDll.dll.config"); while (true) { Thread.Sleep(1000); } } }} |
需要注意的是,使用.net Remoting,你必须把托管dll放在和宿主同一个目录下,否则反射机制会失败。这种注入方式提供了很大的灵活性,你可以把逻辑代码写在ManagedDll.dll中,也可以写在NativeDll.dll中并导出,在ManagedDll.dll中引用,再通过窗口或者.net Remoting调用。