高级内存代码注入技术样本.pdfVIP

资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 高级内存代码注入技术 1、 概述 1.1 PE 注入 我们知道进程注入的方法分类主要有以下几种 : DLL注入 利用注册表注入 利用 Windows Hooks注入 利用远程线程注入 利用特 洛伊 DLL注入 不带 DLL 的注入 直接将代码写入目标进程 , 并启动远程线程 本文中的技术不同于以往的 DLL注入和 shellcode 注入。经过此方法可将一个进 程的完整镜像完全注入到另外一个进程的内存空间中 , 从而在一个进程空间中 包含了两套不同的代码。与 DLL注入相比 , PE 注入的主要优势是不需要很多文 件 , 只需要 MAIN.EXE注入到其它进程并唤起自身代码即可。 1.2 影响 利用该方法能够达到一下多个效果 : 创立 Socket 及网络访问 访问文件系统 创立线程 访问系统库 访问普通运行 时库 远控 键盘记录 2、 技术原理 2.1 进程代码注入 资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 将代码写入进程的方法较简单 , Windows提供了进程内存读取和写入的系统 API 。 首先需要获取某个进程的 PID 号 , 然后打开该进程 , 能够利用 Kernel32 链接库 中的 OpenProcess 函数实现。 注 : 远程打开进程是受限的 , 从 Vista 起, 就存在了类似 UAC之类的防护措施。 其中主要的进程内存保护机制是 Mandatory Integrity Control( MIC) 。MIC 是基于”完整性级别” 的对象访问控制保护方法。 完整性级别包括如下四个级别 : 低级别 : 被限制访问大部分系统资源 ( 如 IE) ; 中级别 : 开启 UAC时非特权用 户和管理员组用户启动的进程 ; 高级别 : 以管理员权限启动的进程 系统级别 : SYSTEM用户启动的进程 , 如系统服务。 根据以上完整性级别要求 , 我们的进程注入将只允许注入低级别或同等级别的 进程。 本文将利用 explorer.exe 来举例 , 远程打开进程后利用 VirtualAllocEx 函数申 请一段可保存本进程镜像的内存段 , 为了计算需要的内存大小我们能够经过读 取 PE头信息来获取。 ? 1 /* 获取进程模块镜像 */ 2 3 module = GetModuleHandle(NULL); 4 5 /* 获取 PE头信息 */ 6 7 8 9 /* 获取代码长度 */ 10 11 DWORD moduleSize = headers-OptionalHeader.SizeOfImage; 资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 2.2 获取二进制地址 代码注入中遇到的一个常见问题是模块的基地址会不断变化的问题。 一般情况下 , 当进程启动时 , MAIN 函数的基地址是 0当我们将代码注入到其它进 程中时 , 新的基地址将产生在虚拟地址中不可预测的位置。 在一个 EXE文件中 , 编译和链接后 , 所有的代码和数据地址都是固定的 , 并建 立在虚拟内存基址。 对于 PE注入 , 需要使用完整地址指针来修改数据的基地址