注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

风雨夜归人

专业收集资料,个人爱好!

 
 
 

日志

 
 

Windows Hook 易核心编程(2)远程线程插入  

2009-05-19 23:53:05|  分类: 外挂学习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

我们讲了勾子基本概念和一些简单的应用这一期我们就来学习用用钩子技术和内存文件映射共享技术来实现远程线程插入大家知道,传统的远程线程插入是通过以下几个API来完成的; ·OpenProcess - 用于打开要寄生的目标进程。 ·VirtualAllocEx/VirtualFreeEx - 用于在目标进程中分配/释放内存空间。 ·WriteProcessMemory - 用于在目标进程中写入要加载的DLL名称。 ·CreateRemoteThread - 远程加载DLL的核心内容,用于控制目标进程调用API函数。 ·LoadLibrary - 目标进程通过调用此函数来加载病毒DLL。可是上面的方法不具有通用性,在98中可能无效. 并且由于易DLL的特殊性,上面的方法并不怎么奏效,钩子的出现为我们解决了这个难题, 通过钩子实现远程线程插入的思路如下: 通过安装windows 消息钩子WH_GETMESSAGE,把待插线程代码所在的DLL注入到其他进程里在钩子回调函数中,判断当前进程ID是否是要插入的进程ID,如果是则创建一个新线程这个新线程函数就是我们要执行的代码所在的函数,到这里也就达到了我们的目地. 现在就产生了一个新问题,由于我们的要执行的代码是放在一个DLL里面的,创建新线程就需要加载这个DLL,就需要知道DLL路径,还有判断当前进程ID是否是要插入的进程ID,首先也要知道要插入的进程ID是多少等等这些信息,都需要启动程序来传递,这就要用到内存文件映射共享技术. 内存文件映射主要是通过以下几个API来完成的: *CreateFileMapping //创建文件映射对象 ,成功返回文件映射对象句柄 Dll命令名:CreateFileMapping 所处动态链接库的文件名:kernel32 在所处动态链接库中的命令名:CreateFileMappingA 返回值类型:整数型 参数<1>的名称为“文件映射句柄”,类型为“整数型”。注明:指定欲在其中创建映射的一个文 件句柄。&HFFFFFFFF&(-1)表示在内存中创建一个文件映射。 参数<2>的名称为“安全对象”,类型为“SECURITY_ATTRIBUTES”。注明:SECURITY_ATTRIBUTES 指定一个安全对象,在创建文件映射时使用。如果为NULL(用ByVal As Long传递零), 表示使用默认安全对象。 参数<3>的名称为“打开映射方式”,类型为“整数型”。注明:下述常数之一:;PAGE_READONLY 以只读方式打开映射;PAGE_READWRITE:以可读、可写方式打开映射;PAGE_WRITECOPY:为 写操作留下备份可组合使用下述一个或多个常数;SEC_COMMIT:为文件映射一个小节中的 所有页分配内存;SEC_IMAGE:文件是个可执行文件;SEC_RESERVE:为没有分配实际内存的 一个小节保留虚拟内存空间 参数<4>的名称为“文件映射最大长度”,类型为“整数型”。注明:文件映射的最大长度(高32 位)。 参数<5>的名称为“文件映射的最小长度”,类型为“整数型”。注明:文件映射的最小长度(低 32位)。如这个参数和dwMaximumSizeHigh都是零,就用磁盘文件的实际长度。 参数<6>的名称为“映射对象名”,类型为“文本型”。注明:指定文件映射对象的名字。如存在 这个名字的一个映射,函数就会打开它。用vbNull创建一个无名的文件映射;。 *OpenFileMappingA //打开一个已存在的文件映射对象,成功返回打开的文件映射对象句柄 Dll命令名:OpenFileMapping 公开 所处动态链接库的文件名:kernel32 在所处动态链接库中的命令名:OpenFileMappingA 返回值类型:整数型 参数<1>的名称为“常数”,类型为“整数型”。注明:带有前缀FILE_MAP_???的一个常数。参考 MapViewOfFile函数的dwDesiredAccess参数的说明。 参数<2>的名称为“进程继承”,类型为“整数型”。注明:如这个函数返回的句柄能由当前进程 启动的新进程继承,则这个参数为TRUE。 参数<3>的名称为“文件映射对象名称”,类型为“文本型”。注明:指定要打开的文件映射对象 名称;。 *MapViewOfFile /将一个文件映射对象映射到当前应用程序的地址空间 Dll命令名:MapViewOfFile 将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射 文件映射在内存中的起始地址。零表示出错。会设置GetLastError 所处动态链接库的文件名:kernel32 在所处动态链接库中的命令名:MapViewOfFile 返回值类型:整数型 参数<1>的名称为“hFileMappingObject”,类型为“整数型”。 参数<2>的名称为“dwDesiredAccess”,类型为“整数型”。 参数<3>的名称为“dwFileOffsetHigh”,类型为“整数型”。 参数<4>的名称为“dwFileOffsetLow”,类型为“整数型”。 参数<5>的名称为“dwNumberOfBytesToMap”,类型为“整数型”。还有一个API(当然,你也可以用别的内存读写API),这里是"RtlMoveMemory" *RtlMoveMemory //复制内存 Dll命令名:Api_复制内存 在所处动态链接库中的命令名:RtlMoveMemory 返回值类型:整数型 参数<1>的名称为“目标区块”,类型为“整数型”。 参数<2>的名称为“源区块”,类型为“共享数据”。 参数<3>的名称为“尺寸”,类型为“整数型”。内存文件映射技术就介绍到这里,在下面的实例中有具体应用,我就不多说了. 以资源管理器进程(explorer.exe)为例,我们来开始解析程序: 程序基本原理: start.exe 先在内存中创建一个映射文件,把自己的线程ID和查找到的 Explorer进程ID 以及HookDL.dll的路径写到映射文件,再安装 HookDL.dll 中的 WH_GETMESSAGE 钩子, 此时,start.exe进入消息循环,直到收到被插进程发来的线程退出消息WM_QUIT 在钩子回调函数中,首先把start.exe在内存中创建的映射文件映射到当前进程,然后判断当前进程ID是否先前 Start.exe 查找到的 Explorer进程ID, 是的话,则再次LoadLibrary(HookDLL.dll),并定位到其中ThreadPro函数. 此时创建一个新线程,线程函数就是ThreadPro,该新线程首先往Start.exe消息队列放置一个线程退出消息 WM_QUIT,导致其消息循环结束. 此时插入线程完成..可以看到屏幕左上角不断变化的数字..说明我们的代码正在执行. 进程列表却没有Start.exe,用进程管理观察,可发现Explorer进程,的确多了个线程,且来自 HookDLL.dll ..如果希望插入Explorer的线程结束,按 Alt+L 即可... :) 现在我们来看看主程序代码,为照顾新手,我会逐行分析: .版本 2 .支持库 eAPI .程序集 窗口程序集1 .程序集变量 Explorer_PID, 整数型 .程序集变量 hMod, 整数型 .程序集变量 lpProc, 子程序指针 .程序集变量 hhook, 整数型 .程序集变量 FileMapH, 整数型 .程序集变量 DLLPath, 文本型 .子程序 __启动窗口_创建完毕 .局部变量 nil, SECURITY_ATTRIBUTES .局部变量 TheNodeP, 整数型 .局部变量 pnode, 共享数据 .局部变量 ThreadMessage, MSG ' 指定DLL路径 DLLPath = 取运行目录 () + “\HookDLL.dll” ' 前次插入失败处理 FileMapH = api_CreateFileMapping (-1, nil, #PAGE_READWRITE, 0, 2, “HookExplorer8Mazi”) api_CloseHandle (FileMapH) ' 关闭插入失败后的映射文件 ' 检查插入线程是否已经存在 FileMapH = api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “hacker0058Explorer8Mazi”) api_CloseHandle (FileMapH) .如果真 (FileMapH = 0) '如果插入线程不存在,开始插入 Explorer_PID = 取进程PID (“explorer.exe”) ' 这里指定要插入的进程,用到了子程序:取进 程PID() .如果真 (Explorer_PID = 0) '查找explorer失败 信息框 (“寻找指定进程出错!”, 0, ) 结束 () .如果真结束 '创建内存映射文件 FileMapH = api_CreateFileMapping (-1, nil, #PAGE_READWRITE, 0, 100, “HookExplorer8Mazi”) '映射到本进程空间 TheNodeP = api_MapViewOfFile (FileMapH, #FILE_MAP_ALL_ACCESS, 0, 0, 0) '写入共享数据 pnode.LenMainPath = 拷贝字符串 (DLLPath, pnode.MainPath) ' 拷贝字符串(DLL路径) pnode.ExplorerID = Explorer_PID ' 指定进程的PID pnode.MainThread = 当前线程标志符_ () ' 当前线程标志符 Api_复制内存 (TheNodeP, pnode, pnode.LenMainPath × 4 + 20) ' 写入共享数据 '关闭内存映射 API_UnmapViewOfFile (TheNodeP) '挂DLL跳板钩子 hMod = GetMsgHookOn () .如果真 (hMod = 0) 输出调试文本 (“挂DLL跳板钩子失败!”) api_CloseHandle (FileMapH) ' 关闭映射文件 结束 () .如果真结束 '等待插入Explorer的新线程发来消息 api_GetMessage (ThreadMessage, 0, 0, 0) '脱DLL跳板钩子 GetMsgHookOff () ' 御载DLL api_FreeLibrary (hMod) ' 关闭映射文件 api_CloseHandle (FileMapH) .如果真结束结束 () .子程序 拷贝字符串, 整数型, , 拷贝字符串(DLL路径)的字符代码到数组 .参数 MainPath, 文本型, , DLL路径 .参数 iption, 整数型, 数组, 装载DLL路径的变量数组 .局部变量 i, 整数型清除数组 (iption) .计次循环首 (取文本长度 (MainPath), i) 加入成员 (iption, 取代码 (MainPath, i)) .计次循环尾 () 返回 (取数组成员数 (iption)) .子程序 取进程PID, 整数型, , 成功返回进程PID,失败返回0 .参数 标志文本, 文本型, , 进程名或窗口名 .局部变量 进程, 进程信息, , "0" .局部变量 PID, 整数型 .局部变量 i, 整数型 PID = 0 .如果真 (倒找文本 (标志文本, “.”, , 真) ≠ -1) 进程 = 取系统进程列表 () .计次循环首 (取数组成员数 (进程), i) .如果真 (到大写 (进程 [i].进程名称) = 到大写 (标志文本)) PID = 进程 [i].进程标识符 跳出循环 () .如果真结束 .计次循环尾 () .如果真结束 .如果真 (PID = 0) API_取进程标识符 (api_FindWindow (0, 标志文本), PID) .如果真结束返回 (PID) ============================================================ .现在主程序已经完成了它的任务,现在来看看我们执行的核心,HookDLL.dll的代码: .先看看钩子回调函数: .版本 2 .全局变量 pnode, 共享数据 .全局变量 TheNodeP, 整数型 .全局变量 hhook, 整数型 .全局变量 MainPath, 文本型 .版本 2 .支持库 eLIB .程序集 HOOK程序集 .程序集变量 hMod, 整数型 .程序集变量 lpProc, 子程序指针 .子程序 GetMsgProc, 整数型, 公开, 钩子回调函数 .参数 code, 整数型 .参数 wParam, 整数型 .参数 lParam, 整数型 .局部变量 lpThreadA, SECURITY_ATTRIBUTES .局部变量 LibraryH, 整数型 .局部变量 ThreadPt, 整数型 .局部变量 ThreadID, 整数型 ' 截获到消息,开始执行下面的自定以代码(回调函数) 复制共享数据 () ' 子程序:复制共享数据() .如果真 (TheNodeP ≠ 0 且 pnode.ExplorerID ≠ 0 且 api_GetCurrentProcessId () = pnode.ExplorerID) ' 是资源管理器 .如果真 (倒找文本 (MainPath, “.dll”, , 真) ≠ -1) ' DLL路径是否正确 LibraryH = api_LoadLibraryA (MainPath) ' 装载动态链接库 .如果真结束 .如果真 (LibraryH ≠ 0) ThreadPt = 到整数 (api_GetProcAddress (LibraryH, “ThreadPro”)) ' 定位线程函数 .如果真 (ThreadPt ≠ 0) api_CreateThread (lpThreadA, 0, ThreadPt, 0, 0, ThreadID) ' 创建新线程 .如果真结束 .如果真结束 .如果真结束返回 (api_CallNextHookEx (hhook, code, wParam, lParam)) ' 钩子循环 '钩子回调函数完成,现在开始写待插线程代码,这里实现写文字到屏幕的功能 .子程序 ThreadPro, , 公开, 待插线程代码 .局部变量 Count, 整数型 .局部变量 热键号, 整数型 .局部变量 theMsg, MSG .局部变量 FileMap, 整数型 .局部变量 nil, SECURITY_ATTRIBUTES api_PostThreadMessage (pnode.MainThread, #WM_QUIT, 0, 0) ' 检查插入线程是否已经存在 FileMap = api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “hacker0058Explorer8Mazi”) ' api_CloseHandle (FileMap) .如果真 (FileMap = 0) '如果插入线程不存在,开始执行写文字到屏幕 FileMap = api_CreateFileMapping (-1, nil, 4, 0, 2, “hacker0058Explorer8Mazi”) Count = 0 热键号 = 注册系统热键 (0, 1, #L键) '注册系统热键ALT+L .如果收到热键消息或线程退出消息就退出循环,结束线程 .判断循环首 (api_PeekMessage (theMsg, 0, 0, 0, #PM_REMOVE) = 0 且 取反 (theMsg.message = #WM_HOTKEY) 或 theMsg.message = #WM_QUIT) WriteScreen (“ ” + Int2Hex (Count) + “ [The Demo is From www.dywt.com.cn Alt+L to Exit ”) Count = Count + 1 延时 (500) .判断循环尾 () 撤销系统热键 (0, 热键号) api_CloseHandle (FileMap) .如果真结束 .子程序 WriteScreen, , , 写文字到屏幕 .参数 s, 文本型 .局部变量 hScreenDC, 整数型 hScreenDC = 取设备场景_ (0) api_TextOut (hScreenDC, 0, 0, s, 取文本长度 (s)) '写文字到屏幕 api_ReleaseDC (0, hScreenDC) '撤消写文字到屏幕 .子程序 Int2Hex, 文本型, , 数值转字符串 .参数 v, 整数型 .局部变量 i, 整数型 .局部变量 a, 文本型 .局部变量 b, 文本型 b = 取十六进制文本 (v) ' .计次循环首 (8 - 取文本长度 (b), i) a = a + “0” .计次循环尾 () 返回 (“$” + a + b) .子程序 GetMsgHookOff, 逻辑型, 公开, 关闭全局消息钩子 返回 (api_UnhookWindowsHookEx (hhook)) .子程序 GetMsgHookOn, 整数型, 公开, 安装全局消息钩子 hMod = api_LoadLibraryA (MainPath) '加载DLL,返回模块地址 lpProc = api_GetProcAddress (hMod, “GetMsgProc”) 'DLL中钩子回调函数地址 hhook = api_SetWindowsHookExA (#WH_GETMESSAGE, lpProc, hMod, 0) '安装钩子返回 (hMod) .程序集 DLL程序集 .版本 2 .子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码复制共享数据 () '初始化代码,只有在程序第一次加载DLL时才被执行 _临时子程序 () 返回 (0) .子程序 复制共享数据 .局部变量 FileMapH, 整数型 FileMapH = api_OpenFileMapping (#FILE_MAP_ALL_ACCESS, 0, “HookExplorer8Mazi”) 输出 (“FileMapH”, FileMapH) .如果真 (FileMapH = 0) 输出调试文本 (“打开内存映射文件出错!”) 返回 () .如果真结束 TheNodeP = api_MapViewOfFile (FileMapH, #FILE_MAP_ALL_ACCESS, 0, 0, 0) .如果真 (TheNodeP = 0) api_CloseHandle (FileMapH) 输出调试文本 (“映射到本进程空间出错!”) 返回 () .如果真结束 '先取得pnode.LenMainPath值,既DLL路径长度,确定内存文件大小 Api_复制内存 (pnode, TheNodeP, 20) '再复制整个内存映射文件 Api_复制内存 (pnode, TheNodeP, pnode.LenMainPath × 4 + 20) '恢复字符串 MainPath = 恢复字符串 () ' DLL路径 '关闭内存映射 api_CloseHandle (FileMapH) API_UnmapViewOfFile (TheNodeP) .如果真 (MainPath = “”) 输出调试文本 (“恢复字符串出错!”) 返回 () .如果真结束数组清零 (pnode.MainPath) .子程序 恢复字符串, 文本型 .局部变量 i .局部变量 MainPath_, 文本型 .计次循环首 (pnode.LenMainPath, i) MainPath_ = MainPath_ + 字符 (pnode.MainPath [i]) .计次循环尾 () 输出调试文本 (“MainPath: ” + MainPath_) 返回 (MainPath_) 好了,整个框架就这样了,由于篇幅原因,具体的不再细说了.附件里有完整的易程序代码,具体细节大家可以参阅,代码在Windows xp+sp2 易4.02中测试中稳定通过. 下期预告: 下一期我们将介绍API Hook技术,API Hook技术应用广泛,常用于屏幕取词,网络防火墙,病毒木马,加壳软件,串口红外通讯,游戏外挂,internet通信等领域.API HOOK的中文意思就是钩住API,对API进行预处理,先执行我们的函数,例如我们用API Hook技挂接ExitWindowsEx API函数,使关机失效等等...... 敬请期待 end 易程序代码见下面附件改进版: 点击下载

易通过全局钩子实现远程线程插入(explorer.exe): start.exe 先在内存中创建一个映射文件,把自己的线程ID和查找到的 Explorer进程ID 以及HookDL.dll的路径写到映射文件,再安装 HookDL.dll 中的 WH_GETMESSAGE 钩子, 此时,start.exe进入消息循环,直到收到被插进程发来的线程退出消息WM_QUIT 在钩子回调函数中,首先把start.exe在内存中创建的映射文件映射到当前进程,然后判断当前进程ID是否先前 Start.exe 查找到的 Explorer进程ID, 是的话,则再次LoadLibrary(HookDLL.dll),并定位到其中ThreadPro函数. 此时创建一个新线程,线程函数就是ThreadPro,该新线程首先往Start.exe消息队列放置一个线程退出消息 WM_QUIT,导致其消息循环结束. 此时插入线程完成..可以看到屏幕左上角不断变化的数字..说明我们的代码正在执行. 进程列表却没有Start.exe,用进程管理观察,可发现Explorer进程,的确多了个线程,且来自 HookDLL.dll ..如果希望插入Explorer的线程结束,按 Alt+L 即可... :) 以上代码在xp+sp2中测试通过,欢迎大家测试(特别是98系统的朋友)并反馈测试结果. 最近才发现易还有这样的读内存的命令指针到字节集() 指针到文本 () 结合易写到内存()命令再次优化代码,详见附件源文件:点击下载

  评论这张
 
阅读(187)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017