看雪论坛
发新帖
1

Ring3注入总结及编程实现【有码】

隔壁雷哥 2017-5-19 00:52 4143


 在科锐一年有余,最近研究了下Ring3下面的各种注入姿势和防御姿势,特地整理了一下,为了练习一下开发所以就边学注入边实验,每学一种注入都用MFC或者汇编开发一个小工具加强印象,感觉可能一些新手朋友可能会用到,水平有限,如有错误,望大家多多赐教。

 

Ring3注入总结

 

导入表注入

静态注入的方法。修改PE文件,添加一个新节,修改导入表添加一个新的DLL实现注入。

挂起线程注入

OpenThread-->SuspendThread-->GetThreadContext-->获取EIP-->修改EIP-->SetThreadContext-->ResumeThread

挂起进程注入

      CreateProcess注入方法之一,CREATE_SUSPENDED以挂起的方式打开进程,写入ShellCode注入。

    调试器注入

       CreateProcess注入方法之二,DEBUG_ONLY_THIS_PROCESS以调试的方法打开进程,利用CREATE_PROCESS_DEBUG_EVENT,向目标程序中写入我们的ShellCode完成相应功能,并且我们的ShellCode中写入以CC断点,代码执行指令时触发EXCEPTION_DEBUG_EVENT事件,在EXCEPTION_DEBUG_EVENT的处理函数中回到原来的执行流程。

     注册表注入

全局的注入方式:

修改:

HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows/AppInit_DLLs的键值为我们DLL的路径,只要使用了user32.dll的程序都会加载这个目录下的DLL

 

钩子注入

利用SetWindowsHookEx拦截消息进行注入。

APC注入

APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的。利用QueueUserAPC()可以向APC队列投入Loadlibrary函数指针完成注入,其实这种方法配合CreateProcess使用注入最为简单,先挂起打开线程,再QueueUserAPC(),再恢复线程,完成注入。

远程线程注入

老的套路,主要是用到CreateRemoteThread这个API,通过它可以打开目标进程中的远程线程,然后跑我们的代码完成注入。

       输入法注入

利用输入法在工作时需要向进程中加载Ime文件(其实就是个Dll,我们构造自己的Ime文件,在Ime文件注入对方进程的时候加载我们自己的DLL完成注入

       DLL劫持

       简单来说就是自己实现应用程序的某些DLL,完成导出函数,替换DLL实现注入。

 不会排版,详细编程思路见文档

 

关于Ring3下的反注入思路

反注入的方法大牛应该都是在Ring0下面玩,我只了解一些三环下的反注入思路,这里只聊3环下的反注入思路。

导入表注入

毕竟是静态修改文件的方法注入DLL,可以对自身PE文件求校验值判断是否被修改。

钩子注入

(1)HOOK自身进程的LoadLibraryExW这个函数,判断调用是否来自user32.dll,因为钩子注入时LoadLibraryExW的调用者为user32.dllHOOK关键代码如下

HMODULE WINAPI newLoadLibraryExW(LPCWSTR  lpLibFileName,HANDLE hFile,DWORD dwFlags)

{

//get the return address

DWORD dwCaller;

        //ebp+4返回上层调用者的地址

__asm push dword ptr [ebp+4]

__asm pop  dword ptr [dwCaller]

if(dwCaller > m_dwUser32Start && dwCaller < m_dwUser32End)

{

       return FALSE;

}    

 

return rawLoadLibraryExW(lpLibFileName,hFile,dwFlags);

}

 

(2)安装WH_DEBUG消息钩子,在WH_DEBUG钩子的消息回到中屏蔽消息钩子,回调

LRESULT CALLBACK DebugProc(  

   int nCode,  

     WPARAM wParam,  

     LPARAM lParam  

)  

 

其中第三个参数 lParam  指向DEBUGHOOKINFO结构体如下:

typedef struct   

{  

     DWORD idThread;  //安装WH_DEBUG钩子的线程ID。

     DWORD idThreadInstaller;  //当前即将被调用的钩子所在的线程ID。

     LPARAM lParam;  

     WPARAM wParam;  

     int code;  

} DEBUGHOOKINFO, *PDEBUGHOOKINFO;  

 

 

判断这两个idThreadidThreadInstaller是否相等即可判断是自己进程的钩子

 

远程线程注入

当程序被远程线程被注入时候,线程的入口点一定为LoadLibraryA或者LoadLibraryW,我们用判断线程的入口点是不是LoadLibraryA或者LoadLibraryW,是就干掉。拿到线程入口点的方法是通过为公开的API --GetThreadStartAddress

关键代码如下:

typedef enum _THREADINFOCLASS {

    ThreadBasicInformation,

    ThreadTimes,

    ThreadPriority,

    ThreadBasePriority,

    ThreadAffinityMask,

    ThreadImpersonationToken,

    ThreadDescriptorTableEntry,

    ThreadEnableAlignmentFaultFixup,

    ThreadEventPair_Reusable,

    ThreadQuerySetWin32StartAddress,

    ThreadZeroTlsCell,

    ThreadPerformanceCount,

    ThreadAmILastThread,

    ThreadIdealProcessor,

    ThreadPriorityBoost,

    ThreadSetTlsArrayAddress,

    ThreadIsIoPending,

    ThreadHideFromDebugger,

    ThreadBreakOnTermination,

    MaxThreadInfoClass

} THREADINFOCLASS;

 

typedef LONG (WINAPI *NtQueryInformationThreadProc)(

    _In_       HANDLE ThreadHandle,

    _In_       THREADINFOCLASS ThreadInformationClass,

    _Inout_    PVOID ThreadInformation,

    _In_       ULONG ThreadInformationLength,

    _Out_opt_  PULONG ReturnLength

    );

 

NtQueryInformationThreadProc   NtQueryInformationThread = NULL;

hNtdll                      = GetModuleHandleW(L"ntdll.dll");

NtQueryInformationThread    = (NtQueryInformationThreadProc)GetProcAddress(hNtdll, "NtQueryInformationThread");

 

HANDLE  hThread = NULL;

PVOID   pvStart = NULL;

hThread = OpenThread(THREAD_QUERY_INFORMATION | THREAD_TERMINATE, FALSE, te32.th32ThreadID);

NtQueryInformationThread(hThread, ThreadQuerySetWin32StartAddress, &pvStart, sizeof(pvStart), NULL);

 

 

DLL劫持

DLL的防御姿势我能想到就是对自己进程每个要加载的DLL求一个校验值,程序运行过程中进行校验


其他的防御姿势坐等各位指教。。。。。


献上学习时候写的一个注入小工具,VS2013编译的,32位






上传的附件:
本主题帖已收到 2 次赞赏,累计¥2.00
最新回复 (50)
kingswb 2017-5-19 06:27
2
谢谢分享,学习了
huluxia 2017-5-19 06:42
3
谢谢分享
AperOdry 2017-5-19 07:32
4
谢谢分享
11
FishSeeWater 2017-5-19 08:17
5
谢谢分享
空白即是正义 2017-5-19 08:31
6
谢谢分享
hzqst 2017-5-19 09:28
7
我可以吐个槽么
yifi 2017-5-19 10:07
8
LoadLibrary  这个函数自己实现一下    你的反注入就没用了    那个勒索病毒好像就自己实现的LoadLibrary 
1
fengyunabc 2017-5-19 11:00
9
谢谢分享!
OnlyForU 2017-5-19 11:01
10
谢谢分享!
2
pxhb 2017-5-19 11:07
11
收藏了,整理的好清晰
枫凌 2017-5-19 12:14
12
感谢分享~
lhb天羽 2017-5-19 13:09
13
厉害了
老gege 2017-5-19 15:24
14
MaYil 2017-5-19 19:13
15
感谢有你,  感谢分享
zjjhszs 2017-5-19 19:39
16
看爱情动作片,我们都喜欢无码,但是看程序,还是喜欢有码,一切不出示代码的文章,都是耍流氓,顶下
laiyier 2017-5-19 20:46
17
真心感谢,最近正在研究,获益良多
gxzslz 2017-5-19 22:30
18
感谢分享~~~
wbzloveme 2017-5-19 23:31
19
感谢分享
atompure 2017-5-20 04:45
20
学习了,谢谢分享。
云峰鼎 2017-5-21 15:49
21
感谢,感谢
WhiteLearner 2017-5-22 01:02
22
厉害了,感谢
Crazy紫枫 2017-5-22 16:18
23
厉害,学习了
livewonder 2017-5-23 08:41
24
总结的不错。    赞一下。
newine 2017-5-23 16:08
25
普及知识了,
cjkillyes 2017-5-23 16:12
26
谢谢楼主分享
wbqsohucom 2017-5-23 21:26
27
mark
whydbg 2017-5-24 07:05
28
谢谢分享 
windtrace 2017-5-24 15:13
29
谢谢分享,已下载收藏
Elele 2017-5-24 18:52
30
学习了,感谢分享!
10
cvcvxk 2017-5-24 19:31
31

注册表注入少了一种方法:VerifierDlls大法

void reg_inject_dll(LPCTSTR lpszExeName,LPCTSTR lpszDllName)
{
	HKEY hKey;
	int dwFlag = 0x100;
	TCHAR szKey[MAX_PATH] = {};
	StringCbPrintf(szKey,sizeof(szKey),
		_T("Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\%s"),
		lpszExeName);
	RegCreateKeyEx(HKEY_LOCAL_MACHINE, 
		szKey, 
		0, NULL,
		0, KEY_ALL_ACCESS, 
		NULL, &hKey, NULL);
	RegSetValueEx(hKey, _T("VerifierDlls"), 0, REG_SZ, (BYTE *)lpszDllName, (lstrlen(lpszDllName) + 1) * sizeof(char));
	RegSetValueEx(hKey, _T("GlobalFlag"), 0, REG_DWORD, (BYTE *)&dwFlag, sizeof(dwFlag));			
	RegCloseKey(hKey);
}

1
隔壁雷哥 2017-5-24 20:20
32
cvcvxk 注册表注入少了一种方法:VerifierDlls大法void&nbsp;reg_inject_dll(LPCTSTR&nbsp;lpszExeName,LPCTSTR&nbsp ...
感谢大牛指教
MaMy 2017-5-25 10:13
33
dll拦截  Hook自身LdrLoadDll 
凌风驾驭 2017-5-25 10:47
34
学习了
saloyun 2017-5-25 16:21
35
厉害了,
哇咔咔zs 2017-5-25 16:30
36
谢谢分享,学习了
killwolf 2017-5-26 15:17
37
zjjhszs 看爱情动作片,我们都喜欢无码,但是看程序,还是喜欢有码,一切不出示代码的文章,都是耍流氓,顶下
支持!注入的话题还可以继续深入。
ugvjewxf 2017-5-27 14:17
38
不错,感谢
十八子 2017-7-7 21:06
39
很不错的技术,谢谢分享
supersoar 2017-7-8 21:06
40
不错  论坛挺缺  这种  总结性的文章
kldxxlxc 2017-7-9 15:09
41
谢谢分享
woshidc 2017-7-9 17:59
42
谢谢楼主总结分享。注入的方法很多,但是每次自己总结总是感觉少了些,谢谢楼主总结
liucq 2017-7-10 14:23
43
支持一下,谢谢分享
flze 2017-7-14 09:43
44
mark一下
无名蛋蛋 2017-7-17 19:52
45
不错,学习了
看不见的日落 2017-7-17 21:42
46
谢谢大佬
foryou 2017-7-18 09:00
47
谢谢分享
wx_千面戏子 2017-7-19 02:20
48
谢谢分享,学习了
everin 2017-7-19 07:25
49
好东西,不错啊
千灵紫皇 5天前
50
感谢分享,
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.017, SQL: 13 / 京ICP备10040895号-17