這是我發表在《黑客防線》2008年12期上的一篇文章,這里是網絡上的首發。
附件是我寫的一個工具“超級間諜(SuperSpy)”,主要包括一個窗口探測功能,甚至能夠探測到VC自帶的SPY++所不能探測到的窗口;當然,還包括這里提到的“托管注入”功能。
程序需運行在.Net2.0以上,如果需要使用注入功能,則需要.Net3.5以上。
超級間諜下載地址:http://download.csdn.net/source/850509
網上關于dll注入的文章實在太多,但基本上都是針對Win32 dll的,而很少涉及到托管dll。
首先讓我們來看看Win32 dll是如何注入的,通常有兩種方法:鉤子和遠程線程。而遠程線程更靈活,所以本文主要討論遠程線程的方法,為了便于交流,先明確以下概念:
1. 主程序:用于將dll注入到其它進程的exe
2. dll:被注入其它進程的dll
3. 宿主:dll將被注入的其它程序
前兩個程序都是我們自己寫的,而第3個是原來就有的。
遠程注入的基本步驟為:主程序通過CreateRemoteThread函數迫使宿主調用LoadLibrary函數加載dll,從而執行dll的入口函數DllMain,只要我們把代碼放到DllMain里,就可以被調用了。
現在我們來看托管dll的注入:
用C#或VB.NET寫的dll沒有DllMain函數,我們自然想到了功能強大的C++。通常,我們把用C#或VB.NET寫的dll,或者用C++寫的,但編譯為/clr:pure的dll稱為托管dll
而把用C++編寫的,但編譯為/clr的dll稱為混合dll。
混合dll也可以調用托管代碼,所以也可以將其稱為托管dll,本文所說的托管dll注入,實際上是混合dll的注入。
我們首先想到的是用常規方法來注入混合dll,結果會發現:只要在DllMain函數里調用了托管代碼,程序就會崩潰。
也許你還會想到下面的方法:
定義一個類,在其構造函數里調用托管代碼,然后在全局域里定義這個類的一個變量,當我們這樣做了后會發現,注入后,什么也沒有執行。
查閱MSDN,我們找到了答案:
DllMain不能直接或間接地調用托管代碼,并且全局變量不會進行初始化。
這樣的結果讓人非常沮喪!
難道真的就沒有辦法了嗎?
網友CiCi給出了一個解決方案:
寫一個混合dll,在其中定義一個導出函數,在這個導出函數里可以調用托管代碼。
然后寫一個非托管dll(也就是Win32 dll),在其DllMain函數里調用前面那個混合dll的導出函數。
這個方案能夠解決問題,并且我在一段時間里,也一直使用這個方法。但總覺得不完美:必須使用兩個dll。
有沒有辦法用一個dll就解決問題呢?答案是肯定的。
我在一次偶然的機會中,發現了一個現象:
如里用鉤子來實現注入,則全局變量會得到初始化。這個發現讓我非常困惑:為什么遠程線程注入就不會初始化呢?
我考慮這兩種方法的區別:鉤子注入時,宿主會調用dll中的鉤子回調函數。
于是我大膽設想,只要宿主調用了dll中的任意一個函數,全局變量就會得到初始化。
于是我在dll中定義了一個空實現的函數(因為我的目地是迫使全局變量初始化,而不是去執行這個函數)
結果正如我所料,全局變量被初始化了,其構造函數中的托管代碼被調用了!
這里其實已經實現了托管代碼的注入,當然,還遠遠不夠完善。
這時候,我又覺得全局變量是多余的了:既然我能夠使宿主調用dll中的一個特定函數,為什么不直接把托管代碼放到這個函數中呢?
我馬上進行了測試,也成功了。
之前我是這樣實現讓宿主調用dll中的一個特定函數的:
在dll被注入之后,我在DllMain函數里將這個特定函數的地址寫到共享內存中(這時DllMain里沒有調用托管代碼,所以可以執行),然后主程序讀取共享內存中的值,再通過遠程線程迫使宿主調用這個特定函數。
于是我又想,既然可以在主程序中用遠程線程迫使宿主調用dll中的特定函數,為什么不直接在dll中用相同的方法去調用呢?
我還沒有來得及驗證,馬上又想到:dll跟宿主是一個進程,即使用遠程線程,傳給CreateRomoteThread函數的第一個參數也是-1(GetCurrentProcess()返回-1),為什么不直接用“近程”線程CreateThread呢?
需要著重強調地是:我當時用CreateThread的目的只是讓它調用一個特定函數,而不是要去創建一個線程,雖然最終的確創建了一個線程,不過對于此目的,貌似只是一個副作用。
我非常興奮,馬上進行了驗證,成功了!
現在我來總結一下托管代碼注入的過程:
首先定義一個線程回調函數,可以在其中調用托管代碼:
DWORD CALLBACK ThreadProc(LPVOID lp)
{
//可以在此調用托管代碼
return 0;
}
然后在dll的入口函數DllMain里調用CreateThread函數:
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
CreateThread(0,0,ThreadProc,0,0,0);
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
這樣就實現了托管代碼的注入。
深入話題:
通常我們會有這樣的要求:在主程序中單擊某個按扭,使宿主執行dll中的一段代碼,多次單擊就多次執行。
上面的代碼無法實現這個目地,因為只有dll剛被注入到宿主時,DllMain中的DLL_PROCESS_ATTACH才會收到通知,我們自然想到:每次執行后,卸載掉dll,下次單擊后,DLL_PROCESS_ATTACH又會收到通知;遺憾的是,目前我還沒有辦法卸載掉這個dll。
對于非托管dll,我們可以通過FreeLibrary來卸載(如果是在dll內部卸載,還必須借助FreeLibraryAndExitThread函數,關于dll的自卸載,由于沒有在這個程序中使用,這里就不做介紹了)
而對于托管dll,查閱MSDN,我們得到的結論是:.Net不支持dll的卸掉,dll只能隨著應用程序域的卸載而卸載。
對于混合dll,應該如何卸載呢?
我嘗試用Win32 dll的方式卸載,結果也“真的”卸載了,這是因為:
1. DllMain中的DLL_PROCESS_DETACH收到了通知
2. 用模塊查看工具去看,宿主中確實不存在注入的dll了
但事實上是失敗了,至少有兩個問題:
1. 關閉宿主時,會提示出錯
2. 再次注入時,雖然DLL_PROCESS_ATTACH會收到通知,但用CreateThread創建的新線程并不被執行
既然MSDN上都說無法卸載托管dll,那這個問題就擱淺了吧。
雖然不能卸載這個dll,但并不是說就不能實現前面提到的問題。
實際上,每次主程序通過CreateRemoteThread函數在宿主創建線程時,DllMain中的DLL_THREAD_ATTACH和DLL_THREAD_DETACH也會收到通知,當然最好不要在這里直接調用CreateThread,這是因為:
1. 如果不做處理,直接在DLL_THREAD_ATTACH中調中CreateThread,顯然會造成死循環:每產生一個線程,DLL_THREAD_ATTACH就會收到通知,然后又去創建線程,它又會得到通知……
2. 雖然多次單擊按扭注入時,DLL_THREAD_ATTACH都會得到通知;但反過來,得到了通知,不意味著就是遠程注入:一個最明顯的情況是,對CreateThread的調用就會導致DLL_THREAD_ATTACH收到通知,但這并非遠程注入
我的解決辦法是:每次主程序調用CreateRemoteThread迫使宿主調用LoadLibrary加載dll的時候,都會使模塊計數器加1,根據模塊計數器的值的變化,就可以確定是否是遠程注入了。
示例程序說明:
示例程序包括3個文件:
1. SuperSpy.exe 用C#寫的主程序
2. Invoke.dll 用C++寫的dll,也只能用C++來寫
3. PropertyControl.dll 用VB.NET寫的插件,它不是必需的
除了Invoke.dll必須用C++外,其余兩個可以用任意語言寫。
你也許會感到奇怪,為什么有兩個dll?
其中PropertyControl.dll是一個插件,你完全可以把所有的代碼都放到Invoke.dll中,之所以用插件的形式,只是為了方便大家編寫自已的插件,插件的規范是,在任意一個類中實現以下成員(你可以用你習慣的語言來編寫這個插件):
public static void Inject();
public static string Description
{
get;
}
兩個成員都必須是公共、靜態的,其中Inject方法是注入后要調用的方法;Description屬性是用于描述插件作用的。
我自已實現的插件的功能是:查詢和編輯一個托管程序中所有窗口(包括控件)的屬性,這是一個很強大的功能,我舉兩個例子:
1. 星號密碼查看。由于已經注入,本來顯示為星號的密碼,可以直接通過Text屬性獲得
2. 灰色按扭突破。只需將窗口的Enabled屬性設置成true即可
以往要實現這兩個功能,都需要分別編寫相關的程序,而現在僅僅是這個插件的一個簡單應用。而且,你可以編寫自己的插件,來實現自己的要求。
