木馬靜態(tài)變動(dòng)態(tài) DLL木馬程序大揭秘
更新時(shí)間:2007年01月16日 00:00:00 作者:
相信經(jīng)常玩木馬的朋友們都會(huì)知道一些木馬的特性,也會(huì)有自己最喜愛的木馬,不過,很多朋友依然不知道近年興起的“DLL木馬”為何物。什么是“DLL木馬”呢?它與一般的木馬有什么不同?
一、從DLL技術(shù)說起
要了解DLL木馬,就必須知道這個(gè)“DLL”是什么意思,所以,讓我們追溯到幾年前,DOS系統(tǒng)大行其道的日子里。在那時(shí)候,寫程序是一件繁瑣的事情,因?yàn)槊總€(gè)程序的代碼都是獨(dú)立的,有時(shí)候?yàn)榱藢?shí)現(xiàn)一個(gè)功能,就要為此寫很多代碼,后來隨著編程技術(shù)發(fā)展,程序員們把很多常用的代碼集合(通用代碼)放進(jìn)一個(gè)獨(dú)立的文件里,并把這個(gè)文件稱為“庫(kù)”(Library),在寫程序的時(shí)候,把這個(gè)庫(kù)文件加入編譯器,就能使用這個(gè)庫(kù)包含的所有功能而不必自己再去寫一大堆代碼,這個(gè)技術(shù)被稱為“靜態(tài)鏈接”(Static Link)。靜態(tài)鏈接技術(shù)讓勞累的程序員松了口氣,一切似乎都很美好。可是事實(shí)證明,美好的事物不會(huì)存在太久,因?yàn)殪o態(tài)鏈接就像一個(gè)粗魯?shù)耐其N員,不管你想不想要宣傳單,他都全部塞到你的手上來。寫一個(gè)程序只想用到一個(gè)庫(kù)文件包含的某個(gè)圖形效果,就因?yàn)檫@個(gè),你不得不把這個(gè)庫(kù)文件攜帶的所有的圖形效果都加入程序,留著它們當(dāng)花瓶擺設(shè),這倒沒什么重要,可是這些花瓶卻把道路都阻塞了——靜態(tài)鏈接技術(shù)讓最終的程序成了大塊頭,因?yàn)榫幾g器把整個(gè)庫(kù)文件也算進(jìn)去了。時(shí)代在發(fā)展,靜態(tài)鏈接技術(shù)由于天生的弊端,不能滿足程序員的愿望,人們開始尋找一種更好的方法來解決代碼重復(fù)的難題。后來,Windows系統(tǒng)出現(xiàn)了,時(shí)代的分水嶺終于出現(xiàn)。Windows系統(tǒng)使用一種新的鏈接技術(shù),這種被稱為“動(dòng)態(tài)鏈接”(Dynamic Link)的新技術(shù)同樣也是使用庫(kù)文件,微軟稱它們?yōu)椤皠?dòng)態(tài)鏈接庫(kù)”——Dynamic Link Library,DLL的名字就是這樣來的。動(dòng)態(tài)鏈接本身和靜態(tài)鏈接沒什么區(qū)別,也是把通用代碼寫進(jìn)一些獨(dú)立文件里,但是在編譯方面,微軟繞了個(gè)圈子,并沒有采取把庫(kù)文件加進(jìn)程序的方法,而是把庫(kù)文件做成已經(jīng)編譯好的程序文件,給它們開個(gè)交換數(shù)據(jù)的接口,程序員寫程序的時(shí)候,一旦要使用某個(gè)庫(kù)文件的一個(gè)功能函數(shù),系統(tǒng)就把這個(gè)庫(kù)文件調(diào)入內(nèi)存,連接上這個(gè)程序占有的任務(wù)進(jìn)程,然后執(zhí)行程序要用的功能函數(shù),并把結(jié)果返回給程序顯示出來,在我們看來,就像是程序自己帶有的功能一樣。完成需要的功能后,這個(gè)DLL停止運(yùn)行,整個(gè)調(diào)用過程結(jié)束。微軟讓這些庫(kù)文件能被多個(gè)程序調(diào)用,實(shí)現(xiàn)了比較完美的共享,程序員無論要寫什么程序,只要在代碼里加入對(duì)相關(guān)DLL的調(diào)用聲明就能使用它的全部功能。最重要的是,DLL絕對(duì)不會(huì)讓你多拿一個(gè)花瓶,你要什么它就給你什么,你不要的東西它才不會(huì)給你。這樣,寫出來的程序就不能再攜帶一大堆垃圾了——絕對(duì)不會(huì)讓你把吃剩的東西帶回家,否則罰款,這是自助餐。
DLL技術(shù)的誕生,使編寫程序變成一件簡(jiǎn)單的事情,Windows為我們提供了幾千個(gè)函數(shù)接口,足以滿足大多數(shù)程序員的需要。而且,Windows系統(tǒng)自身就是由幾千個(gè)DLL文件組成,這些DLL相互扶持,組成了強(qiáng)大的Windows系統(tǒng)。如果Windows使用靜態(tài)鏈接技術(shù),它的體積會(huì)有多大?我不敢想。
二、應(yīng)用程序接口API
上面我們對(duì)DLL技術(shù)做了個(gè)大概分析,在里面我提到了“接口”,這又是什么呢?因?yàn)镈LL不能像靜態(tài)庫(kù)文件那樣塞進(jìn)程序里,所以,如何讓程序知道實(shí)現(xiàn)功能的代碼和文件成了問題,微軟就為DLL技術(shù)做了標(biāo)準(zhǔn)規(guī)范,讓一個(gè)DLL文件像奶酪一樣開了許多小洞,每個(gè)洞口都注明里面存放的功能的名字,程序只要根據(jù)標(biāo)準(zhǔn)規(guī)范找到相關(guān)洞口就可以取得它要的美味了,這個(gè)洞口就是“應(yīng)用程序接口”(Application Programming Interface),每個(gè)DLL帶的接口都不相同,盡最大可能的減少了代碼的重復(fù)。用Steven的一句話:API就是一個(gè)工具箱,你根據(jù)需要取出螺絲刀、扳手,用完后再把它們放回原處。在Windows里,最基本的3個(gè)DLL文件是kernel32.dll、user32.dll、gdi32.dll。它們共同構(gòu)成了基本的系統(tǒng)框架。三、DLL與木馬
DLL是編譯好的代碼,與一般程序沒什么大差別,只是它不能獨(dú)立運(yùn)行,需要程序調(diào)用。那么,DLL與木馬能扯上什么關(guān)系呢?如果你學(xué)過編程并且寫過DLL,就會(huì)發(fā)現(xiàn),其實(shí)DLL的代碼和其他程序幾乎沒什么兩樣,僅僅是接口和啟動(dòng)模式不同,只要改動(dòng)一下代碼入口,DLL就變成一個(gè)獨(dú)立的程序了。當(dāng)然,DLL文件是沒有程序邏輯的,這里并不是說DLL=EXE,不過,依然可以把DLL看做缺少了main入口的EXE,DLL帶的各個(gè)功能函數(shù)可以看作一個(gè)程序的幾個(gè)函數(shù)模塊。DLL木馬就是把一個(gè)實(shí)現(xiàn)了木馬功能的代碼,加上一些特殊代碼寫成DLL文件,導(dǎo)出相關(guān)的API,在別人看來,這只是一個(gè)普通的DLL,但是這個(gè)DLL卻攜帶了完整的木馬功能,這就是DLL木馬的概念。也許有人會(huì)問,既然同樣的代碼就可以實(shí)現(xiàn)木馬功能,那么直接做程序就可以,為什么還要多此一舉寫成DLL呢?這是為了隱藏,因?yàn)镈LL運(yùn)行時(shí)是直接掛在調(diào)用它的程序的進(jìn)程里的,并不會(huì)另外產(chǎn)生進(jìn)程,所以相對(duì)于傳統(tǒng)EXE木馬來說,它很難被查到。
四、DLL的運(yùn)行
雖然DLL不能自己運(yùn)行,可是Windows在加載DLL的時(shí)候,需要一個(gè)入口函數(shù),就如同EXE的main一樣,否則系統(tǒng)無法引用DLL。所以根據(jù)編寫規(guī)范,Windows必須查找并執(zhí)行DLL里的一個(gè)函數(shù)DllMain作為加載DLL的依據(jù),這個(gè)函數(shù)不作為API導(dǎo)出,而是內(nèi)部函數(shù)。DllMain函數(shù)使DLL得以保留在內(nèi)存里,有的DLL里面沒有DllMain函數(shù),可是依然能使用,這是因?yàn)閃indows在找不到DllMain的時(shí)候,會(huì)從其它運(yùn)行庫(kù)中找一個(gè)不做任何操作的缺省DllMain函數(shù)啟動(dòng)這個(gè)DLL使它能被載入,并不是說DLL可以放棄DllMain函數(shù)。
五、DLL木馬技術(shù)分析
到了這里,您也許會(huì)想,既然DLL木馬有那么多好處,以后寫木馬都采用DLL方式不就好了嗎?話雖然是這么說沒錯(cuò),但是DLL木馬并不是一些人想象的那么容易寫的。要寫一個(gè)能用的DLL木馬,你需要了解更多知識(shí)。
1. 木馬的主體
千萬別把木馬模塊寫得真的像個(gè)API庫(kù)一樣,這不是開發(fā)WINAPI。DLL木馬可以導(dǎo)出幾個(gè)輔助函數(shù),但是必須有一個(gè)過程負(fù)責(zé)主要執(zhí)行代碼,否則這個(gè)DLL只能是一堆零碎API函數(shù),別提工作了。
如果涉及一些通用代碼,可以在DLL里寫一些內(nèi)部函數(shù),供自己的代碼使用,而不是把所有代碼都開放成接口,這樣它自己本身都難調(diào)用了,更不可能發(fā)揮作用。
DLL木馬的標(biāo)準(zhǔn)執(zhí)行入口為DllMain,所以必須在DllMain里寫好DLL木馬運(yùn)行的代碼,或者指向DLL木馬的執(zhí)行模塊。2. 動(dòng)態(tài)嵌入技術(shù)
Windows中,每個(gè)進(jìn)程都有自己的私有內(nèi)存空間,別的進(jìn)程是不允許對(duì)這個(gè)私人領(lǐng)地進(jìn)行操作的,但是,實(shí)際上我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存,這就是動(dòng)態(tài)嵌入,它是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。動(dòng)態(tài)嵌入有很多種,最常見的是鉤子、API以及遠(yuǎn)程線程技術(shù),現(xiàn)在的大多數(shù)DLL木馬都采用遠(yuǎn)程線程技術(shù)把自己掛在一個(gè)正常系統(tǒng)進(jìn)程中。其實(shí)動(dòng)態(tài)嵌入并不少見,羅技的MouseWare驅(qū)動(dòng)就掛著每一個(gè)系統(tǒng)進(jìn)程-_-
遠(yuǎn)程線程技術(shù)就是通過在另一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程(RemoteThread)的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。在DLL木馬的范疇里,這個(gè)技術(shù)也叫做“注入”,當(dāng)載體在那個(gè)被注入的進(jìn)程里創(chuàng)建了遠(yuǎn)程線程并命令它加載DLL時(shí),木馬就掛上去執(zhí)行了,沒有新進(jìn)程產(chǎn)生,要想讓木馬停止惟有讓掛接這個(gè)木馬DLL的進(jìn)程退出運(yùn)行。但是,很多時(shí)候我們只能束手無策——它和Explorer.exe掛在一起了,你確定要關(guān)閉Windows嗎?
3. 木馬的啟動(dòng)
有人也許會(huì)迫不及待的說,直接把這個(gè)DLL加入系統(tǒng)啟動(dòng)項(xiàng)目不就可以了。答案是NO,前面說過,DLL不能獨(dú)立運(yùn)行,所以無法在啟動(dòng)項(xiàng)目里直接啟動(dòng)它。要想讓木馬跑起來,就需要一個(gè)EXE使用動(dòng)態(tài)嵌入技術(shù)讓DLL搭上其他正常進(jìn)程的車,讓被嵌入的進(jìn)程調(diào)用這個(gè)DLL的DllMain函數(shù),激發(fā)木馬運(yùn)行,最后啟動(dòng)木馬的EXE結(jié)束運(yùn)行,木馬啟動(dòng)完畢。
啟動(dòng)DLL木馬的EXE是個(gè)重要角色,它被稱為L(zhǎng)oader,如果沒有Loader,DLL木馬就是破爛一堆,因此,一個(gè)算得上成熟的DLL木馬會(huì)想辦法保護(hù)它的Loader不會(huì)那么容易被毀滅。記得狼狽為奸的故事嗎?DLL木馬就是爬在狼Loader上的狽。
Loader可以是多種多樣的,Windows的rundll32.exe也被一些DLL木馬用來做了Loader,這種木馬一般不帶動(dòng)態(tài)嵌入技術(shù),它直接掛著rundll32進(jìn)程運(yùn)行,用rundll32的方法(rundll32.exe [DLL名],[函數(shù)] [參數(shù)])像調(diào)用API一樣去引用這個(gè)DLL的啟動(dòng)函數(shù)激發(fā)木馬模塊開始執(zhí)行,即使你殺了rundll32,木馬本體還是在的,一個(gè)最常見的例子就是3721中文實(shí)名,雖然它不是木馬。
注冊(cè)表的AppInit_DLLs鍵也被一些木馬用來啟動(dòng)自己,如求職信病毒。利用注冊(cè)表啟動(dòng),就是讓系統(tǒng)執(zhí)行DllMain來達(dá)到啟動(dòng)木馬的目的。因?yàn)樗莐ernel調(diào)入的,對(duì)這個(gè)DLL的穩(wěn)定性有很大要求,稍有錯(cuò)誤就會(huì)導(dǎo)致系統(tǒng)崩潰,所以很少看到這種木馬。
有一些更復(fù)雜點(diǎn)的DLL木馬通過svchost.exe啟動(dòng),這種DLL木馬必須寫成NT-Service,入口函數(shù)是ServiceMain,一般很少見,但是這種木馬的隱蔽性也不錯(cuò),而且Loader有保障。
4. 其它
到這里大家也應(yīng)該對(duì)DLL木馬有個(gè)了解了,是不是很想寫一個(gè)?別急,不知道大家想過沒有,既然DLL木馬這么好,為什么到現(xiàn)在能找到的DLL木馬寥寥無幾?現(xiàn)在讓我來潑冷水,最重要的原因只有一個(gè):由于DLL木馬掛著系統(tǒng)進(jìn)程運(yùn)行,如果它本身寫得不好,例如沒有防止運(yùn)行錯(cuò)誤的代碼或者沒有嚴(yán)格規(guī)范用戶的輸入,DLL就會(huì)出錯(cuò)崩潰。別緊張,一般的EXE也是這樣完蛋的,但是DLL崩潰會(huì)導(dǎo)致它掛著的程序跟著遭殃,別忘記它掛接的是系統(tǒng)進(jìn)程哦,結(jié)局就是……慘不忍睹。所以寫一個(gè)能公布的DLL木馬,在排錯(cuò)檢查方面做的工作要比一般的EXE木馬多,寫得多了自己都煩躁……
六、DLL木馬的發(fā)現(xiàn)和查殺
經(jīng)??纯磫?dòng)項(xiàng)有沒有多出莫名其妙的項(xiàng)目,這是Loader的所在,只要?dú)⒘死?,狽就不能再狂了。而DLL木馬本體比較難發(fā)現(xiàn),需要你有一定編程知識(shí)和分析能力,在Loader里查找DLL名稱,或者從進(jìn)程里看多掛接了什么陌生的DLL,可是對(duì)新手來說……總之就是比較難啊比較難,所以,最簡(jiǎn)單的方法:殺毒軟件和防火墻(不是萬能藥,切忌長(zhǎng)期服用)。
一、從DLL技術(shù)說起
要了解DLL木馬,就必須知道這個(gè)“DLL”是什么意思,所以,讓我們追溯到幾年前,DOS系統(tǒng)大行其道的日子里。在那時(shí)候,寫程序是一件繁瑣的事情,因?yàn)槊總€(gè)程序的代碼都是獨(dú)立的,有時(shí)候?yàn)榱藢?shí)現(xiàn)一個(gè)功能,就要為此寫很多代碼,后來隨著編程技術(shù)發(fā)展,程序員們把很多常用的代碼集合(通用代碼)放進(jìn)一個(gè)獨(dú)立的文件里,并把這個(gè)文件稱為“庫(kù)”(Library),在寫程序的時(shí)候,把這個(gè)庫(kù)文件加入編譯器,就能使用這個(gè)庫(kù)包含的所有功能而不必自己再去寫一大堆代碼,這個(gè)技術(shù)被稱為“靜態(tài)鏈接”(Static Link)。靜態(tài)鏈接技術(shù)讓勞累的程序員松了口氣,一切似乎都很美好。可是事實(shí)證明,美好的事物不會(huì)存在太久,因?yàn)殪o態(tài)鏈接就像一個(gè)粗魯?shù)耐其N員,不管你想不想要宣傳單,他都全部塞到你的手上來。寫一個(gè)程序只想用到一個(gè)庫(kù)文件包含的某個(gè)圖形效果,就因?yàn)檫@個(gè),你不得不把這個(gè)庫(kù)文件攜帶的所有的圖形效果都加入程序,留著它們當(dāng)花瓶擺設(shè),這倒沒什么重要,可是這些花瓶卻把道路都阻塞了——靜態(tài)鏈接技術(shù)讓最終的程序成了大塊頭,因?yàn)榫幾g器把整個(gè)庫(kù)文件也算進(jìn)去了。時(shí)代在發(fā)展,靜態(tài)鏈接技術(shù)由于天生的弊端,不能滿足程序員的愿望,人們開始尋找一種更好的方法來解決代碼重復(fù)的難題。后來,Windows系統(tǒng)出現(xiàn)了,時(shí)代的分水嶺終于出現(xiàn)。Windows系統(tǒng)使用一種新的鏈接技術(shù),這種被稱為“動(dòng)態(tài)鏈接”(Dynamic Link)的新技術(shù)同樣也是使用庫(kù)文件,微軟稱它們?yōu)椤皠?dòng)態(tài)鏈接庫(kù)”——Dynamic Link Library,DLL的名字就是這樣來的。動(dòng)態(tài)鏈接本身和靜態(tài)鏈接沒什么區(qū)別,也是把通用代碼寫進(jìn)一些獨(dú)立文件里,但是在編譯方面,微軟繞了個(gè)圈子,并沒有采取把庫(kù)文件加進(jìn)程序的方法,而是把庫(kù)文件做成已經(jīng)編譯好的程序文件,給它們開個(gè)交換數(shù)據(jù)的接口,程序員寫程序的時(shí)候,一旦要使用某個(gè)庫(kù)文件的一個(gè)功能函數(shù),系統(tǒng)就把這個(gè)庫(kù)文件調(diào)入內(nèi)存,連接上這個(gè)程序占有的任務(wù)進(jìn)程,然后執(zhí)行程序要用的功能函數(shù),并把結(jié)果返回給程序顯示出來,在我們看來,就像是程序自己帶有的功能一樣。完成需要的功能后,這個(gè)DLL停止運(yùn)行,整個(gè)調(diào)用過程結(jié)束。微軟讓這些庫(kù)文件能被多個(gè)程序調(diào)用,實(shí)現(xiàn)了比較完美的共享,程序員無論要寫什么程序,只要在代碼里加入對(duì)相關(guān)DLL的調(diào)用聲明就能使用它的全部功能。最重要的是,DLL絕對(duì)不會(huì)讓你多拿一個(gè)花瓶,你要什么它就給你什么,你不要的東西它才不會(huì)給你。這樣,寫出來的程序就不能再攜帶一大堆垃圾了——絕對(duì)不會(huì)讓你把吃剩的東西帶回家,否則罰款,這是自助餐。
DLL技術(shù)的誕生,使編寫程序變成一件簡(jiǎn)單的事情,Windows為我們提供了幾千個(gè)函數(shù)接口,足以滿足大多數(shù)程序員的需要。而且,Windows系統(tǒng)自身就是由幾千個(gè)DLL文件組成,這些DLL相互扶持,組成了強(qiáng)大的Windows系統(tǒng)。如果Windows使用靜態(tài)鏈接技術(shù),它的體積會(huì)有多大?我不敢想。
二、應(yīng)用程序接口API
上面我們對(duì)DLL技術(shù)做了個(gè)大概分析,在里面我提到了“接口”,這又是什么呢?因?yàn)镈LL不能像靜態(tài)庫(kù)文件那樣塞進(jìn)程序里,所以,如何讓程序知道實(shí)現(xiàn)功能的代碼和文件成了問題,微軟就為DLL技術(shù)做了標(biāo)準(zhǔn)規(guī)范,讓一個(gè)DLL文件像奶酪一樣開了許多小洞,每個(gè)洞口都注明里面存放的功能的名字,程序只要根據(jù)標(biāo)準(zhǔn)規(guī)范找到相關(guān)洞口就可以取得它要的美味了,這個(gè)洞口就是“應(yīng)用程序接口”(Application Programming Interface),每個(gè)DLL帶的接口都不相同,盡最大可能的減少了代碼的重復(fù)。用Steven的一句話:API就是一個(gè)工具箱,你根據(jù)需要取出螺絲刀、扳手,用完后再把它們放回原處。在Windows里,最基本的3個(gè)DLL文件是kernel32.dll、user32.dll、gdi32.dll。它們共同構(gòu)成了基本的系統(tǒng)框架。三、DLL與木馬
DLL是編譯好的代碼,與一般程序沒什么大差別,只是它不能獨(dú)立運(yùn)行,需要程序調(diào)用。那么,DLL與木馬能扯上什么關(guān)系呢?如果你學(xué)過編程并且寫過DLL,就會(huì)發(fā)現(xiàn),其實(shí)DLL的代碼和其他程序幾乎沒什么兩樣,僅僅是接口和啟動(dòng)模式不同,只要改動(dòng)一下代碼入口,DLL就變成一個(gè)獨(dú)立的程序了。當(dāng)然,DLL文件是沒有程序邏輯的,這里并不是說DLL=EXE,不過,依然可以把DLL看做缺少了main入口的EXE,DLL帶的各個(gè)功能函數(shù)可以看作一個(gè)程序的幾個(gè)函數(shù)模塊。DLL木馬就是把一個(gè)實(shí)現(xiàn)了木馬功能的代碼,加上一些特殊代碼寫成DLL文件,導(dǎo)出相關(guān)的API,在別人看來,這只是一個(gè)普通的DLL,但是這個(gè)DLL卻攜帶了完整的木馬功能,這就是DLL木馬的概念。也許有人會(huì)問,既然同樣的代碼就可以實(shí)現(xiàn)木馬功能,那么直接做程序就可以,為什么還要多此一舉寫成DLL呢?這是為了隱藏,因?yàn)镈LL運(yùn)行時(shí)是直接掛在調(diào)用它的程序的進(jìn)程里的,并不會(huì)另外產(chǎn)生進(jìn)程,所以相對(duì)于傳統(tǒng)EXE木馬來說,它很難被查到。
四、DLL的運(yùn)行
雖然DLL不能自己運(yùn)行,可是Windows在加載DLL的時(shí)候,需要一個(gè)入口函數(shù),就如同EXE的main一樣,否則系統(tǒng)無法引用DLL。所以根據(jù)編寫規(guī)范,Windows必須查找并執(zhí)行DLL里的一個(gè)函數(shù)DllMain作為加載DLL的依據(jù),這個(gè)函數(shù)不作為API導(dǎo)出,而是內(nèi)部函數(shù)。DllMain函數(shù)使DLL得以保留在內(nèi)存里,有的DLL里面沒有DllMain函數(shù),可是依然能使用,這是因?yàn)閃indows在找不到DllMain的時(shí)候,會(huì)從其它運(yùn)行庫(kù)中找一個(gè)不做任何操作的缺省DllMain函數(shù)啟動(dòng)這個(gè)DLL使它能被載入,并不是說DLL可以放棄DllMain函數(shù)。
五、DLL木馬技術(shù)分析
到了這里,您也許會(huì)想,既然DLL木馬有那么多好處,以后寫木馬都采用DLL方式不就好了嗎?話雖然是這么說沒錯(cuò),但是DLL木馬并不是一些人想象的那么容易寫的。要寫一個(gè)能用的DLL木馬,你需要了解更多知識(shí)。
1. 木馬的主體
千萬別把木馬模塊寫得真的像個(gè)API庫(kù)一樣,這不是開發(fā)WINAPI。DLL木馬可以導(dǎo)出幾個(gè)輔助函數(shù),但是必須有一個(gè)過程負(fù)責(zé)主要執(zhí)行代碼,否則這個(gè)DLL只能是一堆零碎API函數(shù),別提工作了。
如果涉及一些通用代碼,可以在DLL里寫一些內(nèi)部函數(shù),供自己的代碼使用,而不是把所有代碼都開放成接口,這樣它自己本身都難調(diào)用了,更不可能發(fā)揮作用。
DLL木馬的標(biāo)準(zhǔn)執(zhí)行入口為DllMain,所以必須在DllMain里寫好DLL木馬運(yùn)行的代碼,或者指向DLL木馬的執(zhí)行模塊。2. 動(dòng)態(tài)嵌入技術(shù)
Windows中,每個(gè)進(jìn)程都有自己的私有內(nèi)存空間,別的進(jìn)程是不允許對(duì)這個(gè)私人領(lǐng)地進(jìn)行操作的,但是,實(shí)際上我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存,這就是動(dòng)態(tài)嵌入,它是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。動(dòng)態(tài)嵌入有很多種,最常見的是鉤子、API以及遠(yuǎn)程線程技術(shù),現(xiàn)在的大多數(shù)DLL木馬都采用遠(yuǎn)程線程技術(shù)把自己掛在一個(gè)正常系統(tǒng)進(jìn)程中。其實(shí)動(dòng)態(tài)嵌入并不少見,羅技的MouseWare驅(qū)動(dòng)就掛著每一個(gè)系統(tǒng)進(jìn)程-_-
遠(yuǎn)程線程技術(shù)就是通過在另一個(gè)進(jìn)程中創(chuàng)建遠(yuǎn)程線程(RemoteThread)的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。在DLL木馬的范疇里,這個(gè)技術(shù)也叫做“注入”,當(dāng)載體在那個(gè)被注入的進(jìn)程里創(chuàng)建了遠(yuǎn)程線程并命令它加載DLL時(shí),木馬就掛上去執(zhí)行了,沒有新進(jìn)程產(chǎn)生,要想讓木馬停止惟有讓掛接這個(gè)木馬DLL的進(jìn)程退出運(yùn)行。但是,很多時(shí)候我們只能束手無策——它和Explorer.exe掛在一起了,你確定要關(guān)閉Windows嗎?
3. 木馬的啟動(dòng)
有人也許會(huì)迫不及待的說,直接把這個(gè)DLL加入系統(tǒng)啟動(dòng)項(xiàng)目不就可以了。答案是NO,前面說過,DLL不能獨(dú)立運(yùn)行,所以無法在啟動(dòng)項(xiàng)目里直接啟動(dòng)它。要想讓木馬跑起來,就需要一個(gè)EXE使用動(dòng)態(tài)嵌入技術(shù)讓DLL搭上其他正常進(jìn)程的車,讓被嵌入的進(jìn)程調(diào)用這個(gè)DLL的DllMain函數(shù),激發(fā)木馬運(yùn)行,最后啟動(dòng)木馬的EXE結(jié)束運(yùn)行,木馬啟動(dòng)完畢。
啟動(dòng)DLL木馬的EXE是個(gè)重要角色,它被稱為L(zhǎng)oader,如果沒有Loader,DLL木馬就是破爛一堆,因此,一個(gè)算得上成熟的DLL木馬會(huì)想辦法保護(hù)它的Loader不會(huì)那么容易被毀滅。記得狼狽為奸的故事嗎?DLL木馬就是爬在狼Loader上的狽。
Loader可以是多種多樣的,Windows的rundll32.exe也被一些DLL木馬用來做了Loader,這種木馬一般不帶動(dòng)態(tài)嵌入技術(shù),它直接掛著rundll32進(jìn)程運(yùn)行,用rundll32的方法(rundll32.exe [DLL名],[函數(shù)] [參數(shù)])像調(diào)用API一樣去引用這個(gè)DLL的啟動(dòng)函數(shù)激發(fā)木馬模塊開始執(zhí)行,即使你殺了rundll32,木馬本體還是在的,一個(gè)最常見的例子就是3721中文實(shí)名,雖然它不是木馬。
注冊(cè)表的AppInit_DLLs鍵也被一些木馬用來啟動(dòng)自己,如求職信病毒。利用注冊(cè)表啟動(dòng),就是讓系統(tǒng)執(zhí)行DllMain來達(dá)到啟動(dòng)木馬的目的。因?yàn)樗莐ernel調(diào)入的,對(duì)這個(gè)DLL的穩(wěn)定性有很大要求,稍有錯(cuò)誤就會(huì)導(dǎo)致系統(tǒng)崩潰,所以很少看到這種木馬。
有一些更復(fù)雜點(diǎn)的DLL木馬通過svchost.exe啟動(dòng),這種DLL木馬必須寫成NT-Service,入口函數(shù)是ServiceMain,一般很少見,但是這種木馬的隱蔽性也不錯(cuò),而且Loader有保障。
4. 其它
到這里大家也應(yīng)該對(duì)DLL木馬有個(gè)了解了,是不是很想寫一個(gè)?別急,不知道大家想過沒有,既然DLL木馬這么好,為什么到現(xiàn)在能找到的DLL木馬寥寥無幾?現(xiàn)在讓我來潑冷水,最重要的原因只有一個(gè):由于DLL木馬掛著系統(tǒng)進(jìn)程運(yùn)行,如果它本身寫得不好,例如沒有防止運(yùn)行錯(cuò)誤的代碼或者沒有嚴(yán)格規(guī)范用戶的輸入,DLL就會(huì)出錯(cuò)崩潰。別緊張,一般的EXE也是這樣完蛋的,但是DLL崩潰會(huì)導(dǎo)致它掛著的程序跟著遭殃,別忘記它掛接的是系統(tǒng)進(jìn)程哦,結(jié)局就是……慘不忍睹。所以寫一個(gè)能公布的DLL木馬,在排錯(cuò)檢查方面做的工作要比一般的EXE木馬多,寫得多了自己都煩躁……
六、DLL木馬的發(fā)現(xiàn)和查殺
經(jīng)??纯磫?dòng)項(xiàng)有沒有多出莫名其妙的項(xiàng)目,這是Loader的所在,只要?dú)⒘死?,狽就不能再狂了。而DLL木馬本體比較難發(fā)現(xiàn),需要你有一定編程知識(shí)和分析能力,在Loader里查找DLL名稱,或者從進(jìn)程里看多掛接了什么陌生的DLL,可是對(duì)新手來說……總之就是比較難啊比較難,所以,最簡(jiǎn)單的方法:殺毒軟件和防火墻(不是萬能藥,切忌長(zhǎng)期服用)。
相關(guān)文章
從MS03-049漏洞利用看調(diào)試系統(tǒng)進(jìn)程(圖)
從MS03-049漏洞利用看調(diào)試系統(tǒng)進(jìn)程(圖)...2007-01-01視窗操作系統(tǒng)密碼體系的弱點(diǎn)及對(duì)策(圖)
視窗操作系統(tǒng)密碼體系的弱點(diǎn)及對(duì)策(圖)...2007-01-01