什么是DLL?让我们简单介绍一下。
DLL,即动态链接库,是一种可执行文件,但它不能独立运行,需要被其他程序调用。DLL的代码和一般程序代码的主要区别在于其接口和启动模式。我们可以将DLL看作是一个缺少了main的EXE程序,其内的各个功能函数可以看作程序中的几个函数模块。
当我们谈论DLL木马,它实际上是将实现木马功能的代码和一些特殊代码写入DLL文件,并导出相关的API。从外部看,这只是一个普通的DLL,但实际上它携带了完整的木马功能。因为DLL运行时是直接在调用它的程序的进程中运行,并不会产生额外的进程,所以相对于传统的EXE木马,DLL木马的隐蔽性更强,更难被查找到。
那么,DLL木马是如何实现的呢?编程者在DLL中嵌入木马程序代码,然后在目标主机中选择特定的目标进程,通过某种方式强制该进程调用包含木马程序的DLL,或者以某种方式将DLL强制注入到目标进程的地址空间中。最终目的是侵袭目标系统。
DLL自身的特点决定了以这种形式加载木马不仅可行,而且具有很好的隐藏性:一旦DLL被映目标进程的地址空间中,它就能够共享目标进程的资源,并访问相应的系统资源。而且,DLL程序没有独立的进程地址空间,这在目标主机中运行时隐藏了自己。
接下来,我们来看看具体的注入方法。有多种方法可以实现DLL的注入,常用的方法有以下几种:
第一种是通过注册表来注入DLL。整个系统的配置都在注册表中维护,可以通过调整设置来改变系统的行为特性。这种方法主要依赖一个特定的注册表关键字来注入DLL。当系统重新启动并进行初始化时,将保存这个关键字的值。然后,当Use.dll库被映进程中时,它将接收到一个DLL_PROCESS_ATTACH通知,从而加载DLL。
第二种是通过Windows挂钩来注入DLL。应用程序会接收许多与应用程序相关的事件消息。例如,当应用程序的某个窗口处于活动状态时或当输入一个按键或单击鼠标时,它都可以接收事件信息。微软公司定义了一个函数SetWindowHookEx,它能够钩住另一个进程中的窗口消息并有效地将DLL加载到另一个进程的地址空间中。
第四种方法是使用远程线程来注入DLL,这种方法具有更大的灵活性。这种DLL注入方法要求目标进程中的线程调用LoadLibrary函数来加载必要的DLL。由于无法方便地控制其他进程中的线程,因此需要在目标进程中创建一个新线程。由于是新创建的线程,因此能够控制它执行什么代码。Windows提供的CreateRemoteThread函数能够在另一个进程中创建线程,并通过该线程加载DLL。
使用这种方法来注入DLL时,必须考虑两个问题:一个是获取LoadLibraryA的准确内存位置;另一个是确保DLL路径名字符串在远程进程的地址空间中。为了解决这两个问题,可以通过调用GetProcAddress函数获取LoadLibraryA的地址,并使用VirtualAllocEx和WriteProcessMemory函数将DLL的路径名字符串放入远程进程的地址空间中。然后,使用CreateRemoteThread函数在远程进程中创建一个线程,该线程调用LoadLibrary函数并传递正确的内存地址。
今天的内容就讲到这里,希望对大家有所帮助。如果你对这个话题感兴趣的话请留言讨论或关注更多相关内容的学习分享和交流!
