�C�O6` F8a
N3M)R0在逆向工程中,经常需要改变程序原有的执行流程,使其增加或者减少一些功能代码,这就需要对原文件进行补丁。补丁分文件补丁和内存补丁两种。文件补丁就是修改文件本身某个数据,达到一劳永逸的效果。顾名思义,内存补丁是在内存中打补丁、修改,确切地说,是对正在运行的程序的数据进行修改,以达到某种效果。IXPUB技术博客�N�y�Q�w"L H+g
%n2i/j�U�T�p0……略……
�`0O�u�u)s4D�z0�y�}�Q�O*V9C�B018.2.4 DLL劫持技术
�J \�o.d c�A |�X0IXPUB技术博客�s�r!I�h d;^;N#q#P当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。IXPUB技术博客6d
Z;?0S'C
IXPUB技术博客+`2v�e7e.J6p*{由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行,如图18.3所示。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。
�L$a�O�d8`"c�`!v'd�g�\0 |
| 图18.3 DLL劫持技术演示 |
%Y�s"Q8E�}3W�g�z0利用这种方法取得控制权后,可以对主程序进行补丁。此种方法只对除kernel32.dll、ntdll.dll等核心系统库以外的DLL有效,如网络应用程序的ws2_32.dll、游戏程序中的d3d8.dll,还有大部分应用程序都调用的lpk.dll,这些DLL都可被劫持。
�~4W�X'[�t n5_�D0�N
f*w#?5v�X�T-v0利用第5章5.6.2节提供的CrackMeNet.exe来演示一下如何利用劫持技术制作补丁,目标文件用Themida v1.9.2.0加壳保护。
,Y�@/m9Y�G)M�L7X*S3n0IXPUB技术博客�^&f�c1J�f�b�}1p
p�X,e1.补丁地址IXPUB技术博客�S.f&i#?9f3v�h/g.K,B�c
IXPUB技术博客�q2H!R,r�|�q
Q去除这个CrackMe网络验证方法参考第5章5.6.2节,将相关补丁代码存放到函数PatchProcess()里。例如将401496h改成:
�]�C'H%} q&L�N
g�Y0O000401496 EB 29 jmp short 004014C1 |
补丁编程实现就是:
&c�z�J:M+R0unsigned char p401496[2] = {0xEB, 0x29};IXPUB技术博客6S!Q*[3u)f
l�U
WriteProcessMemory(hProcess,(LPVOID)0x401496, p401496, 2, NULL); |
�o�A6]'n�W�G0p401496这个数组的数据格式,可以用OllyDbg插件获得,或十六进制工具转换。例如Hex Workshop打开文件,执行菜单“Edit/Copy As/Source”即可得到相应的代码格式。IXPUB技术博客�W�],S!K8H
IXPUB技术博客�Z�F$Z�O.a9\�P,a&Q2.构建输出函数
�E�\'~/p�v�H�G�D)F0IXPUB技术博客*?7o�n$\�h查看实例CrackMeNet.exe输入表,会发现名称为“ws2_32.dll”的DLL,因此构造一个同名的DLL来完成补丁任务。伪造的ws2_32.dll有着真实ws2_32.dll一样的输出函数,完整源码见光盘映像文件。实现时,可以利用DLL模块中的函数转发器来实现这个目标,其会将对一个函数的调用转至另一个DLL中的另一个函数。可以这样使用一个pragma指令:
�[�q�O,u�F�\#J9C0#pragma comment(linker, "/EXPORT:SomeFunc=DllWork.someOtherFunc") |
IXPUB技术博客�t�~ C�w�F�S�_这个pragma告诉链接程序,被编译的DLL应该输出一个名叫SomeFunc的函数。但是SomeFunc函数的实现实际上位于另一个名叫SomeOtherFunc的函数中,该函数包含在称为DllWork. dll的模块中。
�o+I�g�h�q�{
c8V!W0IXPUB技术博客+?1E�M�[3G4Y7R�V M8N如果要达到劫持DLL的目的,生成的DLL输出函数必须与目标DLL输出函数名一样。本例可以这样构造pragma指令:
:i2{#?�N
W,Z�v�}�Q#X�c0IXPUB技术博客%~'y0Q&|�v9x
e&]
#pragma comment(linker, "/EXPORT:WSAStartup=_MemCode_WSAStartup,@115") |
�h�J1l:d�c0编译后的DLL,会有与ws2_32.dll同名的一个输出函数WSAStartup,实际操作时,必须为想要转发的每个函数创建一个单独的pragma代码行,读者可以用工具AheadLib或用其他办法,将ws2_32.dll输出函数转换成相应的pragma指令。
6s�a!O�^
U�p�Z�o
W0�K2|&?:v
j�x0当应用程序调用伪装ws2_32.dll的输出函数时,必须将其转到系统ws2_32.dll中,这部分的代码自己实现。例如,WSAStartup输出函数构造如下:
�|�M�{(_*`�u�R�V0ALCDECL MemCode_WSAStartup(void)IXPUB技术博客8h:d8j.r�V�}
{
+F
N�m8q%x�N$G'?"d+f"N0GetAddress("WSAStartup");IXPUB技术博客-@�^�S�?
Q
__asm JMP EAX;//转到系统ws2_32.dll的WSAStartup输出函数
�b�[*v�o#u�G�K0Z�A0} |
其中,GetAddress()函数的代码如下:
IXPUB技术博客�y$p8}0Y�x�])K�]�G// MemCode 命名空间IXPUB技术博客�{�\ R�c!Y4D�Q
namespace MemCode
*D"J'Q�d0l�K+H'z�k�o9C8x0@0{IXPUB技术博客7h�B�x�P�d'_8T
HMODULE m_hModule = NULL; //原始模块句柄
�|�h�m;j5I0DWORD m_dwReturn[500] = {0}; //原始函数返回地址
�c�S
`5I6u�Q�@�M1B0// 加载原始模块
�n8|�M�]5j)h�q&v0inline BOOL WINAPI Load()IXPUB技术博客6[(}/e
_�@�X�@
{
�M)m3w�g�@7m�O�_�G)\;\0TCHAR tzPath[MAX_PATH]={0};IXPUB技术博客�N�`�b�p�a�[�v&d
TCHAR tzTemp[MAX_PATH]={0};
�D�Z�F
X!{�F�~0GetSystemDirectory(tzPath, sizeof(tzPath));IXPUB技术博客�W�h-U%W�p�N9p#K�B�e
strcat(tzPath,"\\ws2_32.dll");
�p.P"n%[(m�C&L;J�A0m_hModule = LoadLibrary(tzPath);//加载系统系统目录下ws2_32.dllIXPUB技术博客�X�x�^)Z�T%Q�F*{
if (m_hModule == NULL)
*b�e�n*E%K.Y�V�|�h0{IXPUB技术博客!F�D*u(\�A
wsprintf(tzTemp, TEXT("无法加载 %s,程序无法正常运行。"), tzPath);IXPUB技术博客-Z�e!Z�`�w�I4H�t
MessageBox(NULL, tzTemp, TEXT("MemCode"), MB_ICONSTOP);IXPUB技术博客)A+A�{)Y!y
L�z�m
}IXPUB技术博客&o�q*r�T0L�|3n
return (m_hModule != NULL);
/k*M�N4U!U7`2C�k.y
C0}// 释放原始模块IXPUB技术博客�`�r*`�F0W*o r
inline VOID WINAPI Free()IXPUB技术博客*J#T�y1e&q�[�Q
{IXPUB技术博客 S
X�^�~,E%_!L%S
if (m_hModule)IXPUB技术博客0T2?!I�@�c:W�w�E
FreeLibrary(m_hModule);
�?&T
D�d3u0}
}#Q�{!z�W \0// 获取原始函数地址
:k&O�e0\8I�g6H�R0FARPROC WINAPI GetAddress(PCSTR pszProcName)
�J�T8C2h3O4M.o0{
$U$J�y�s�U0FARPROC fpAddress;
%m6w&B�X�f0A9q-p0TCHAR szProcName[16]={0};IXPUB技术博客 @3A;M k7Y']�A6Z
TCHAR tzTemp[MAX_PATH]={0};IXPUB技术博客�Z�|�z�c
s.B�e
�r�Z(n�d;g�K�D0if (m_hModule == NULL)IXPUB技术博客4m+B&q�y1c
{
8X"C4}�T9{�S�_�G�G!R0if (Load() == FALSE)IXPUB技术博客.n3g/v:X+m R�E!r+s&M
ExitProcess(-1);
"z�{.G#h*Z�R0}
.E"_#]�i�T3f&i*B0IXPUB技术博客�Q�{5g
K6R�M#h4U�r
fpAddress = GetProcAddress(m_hModule, pszProcName);
1o)l�Z-T-Y�z3U0if (fpAddress == NULL)IXPUB技术博客:^+M
p�f6j�?�z;W
{IXPUB技术博客${0Z�n3u/D1g�F�P
if (HIWORD(pszProcName) == 0)
�A�f�O�j)W�T.U9{0{IXPUB技术博客3x�v,R�c#L;L�O0m�J�d�d+\
wsprintf(szProcName, "%d", pszProcName);IXPUB技术博客.b2l�t'^�I&|)z
pszProcName = szProcName;
&S�z,p2`�Q9[&e0}IXPUB技术博客
Q�i
t6W�M�O
wsprintf(tzTemp, TEXT("无法找到函数 %hs,程序无法正常运行。"), pszProcName);IXPUB技术博客�`�x�[�S�j�{�F
MessageBox(NULL, tzTemp, TEXT("MemCode"), MB_ICONSTOP);IXPUB技术博客4r�~�};L�t�I�d�J
ExitProcess(-2);
�_ z�[,b�x O�{0}IXPUB技术博客�]7n |�n�c�c6C7_8v
return fpAddress;IXPUB技术博客
H�I�I�s,y�r.]
}
-z/G�m;y
L6g,J�Z�R�l0}
�}2O2s-e8H�h+n%y0using namespace MemCode; |
编译后,用LordPE查看伪造的ws2_32.dll输出函数,和真实ws2_32.dll完全一样,如图18.4所示。
IXPUB技术博客�W$E�w�?
m�K�V3s Z�`�e8L�U
D�?�w�b0 |
| (点击查看大图)图18.4 伪造ws2_32.dll的输出表 |
查看伪造的ws2_32.dll中任意一个输出函数,例如WSACleanup:
�O�o�Y4s4G�U0.text:10001CC0 ; int __stdcall WSACleanup()IXPUB技术博客"o p$H6b�f
.text:10001CC0 WSACleanup proc nearIXPUB技术博客�W�z�f ?�P
.text:10001CC0 push offset aWsacleanup ;"WSACleanup"
$a5N�C�\8y)Y.y6?0.text:10001CC5 call sub_10001000 ;GetAddress(WSACleanup)IXPUB技术博客
I3@5S�}$f
.text:10001CCA jmp eax
!U6O w�c�x)A Q8O)V
L0.text:10001CCA WSACleanup endp |
IXPUB技术博客&^-F-s�f/M&g会发现输出函数WSACleanup()首先调用GetAddress(WSACleanup),获得真实ws2_32.dll中WSACleanup的地址,然后跳过去执行,也就是说,ws2_32.dll各输出函数被Hook了。
�E�E;P�x�A�f8X0IXPUB技术博客�{,c�]
R+M:[�g:J;]3.劫持输出函数IXPUB技术博客�F!])c�d;e�R�D,`�D�G
-G�U�f.^
M9_�t&k3I0ws2_32.dll有许多输出函数,经分析,程序发包或接包时,WSAStartup输出函数调用的比较早,因此在这个输出函数放上补丁的代码。代码如下:IXPUB技术博客#_�@*}�i*J�a,[
ALCDECL MemCode_WSAStartup(void)
1\(v�a�u�Q�~
t-~0{
�D;K)\�| ^%x�S0hijack();
�g([�h�e,x�d�]�L#P�g0GetAddress("WSAStartup");IXPUB技术博客/c2b
g�~,V6|
__asm JMP EAX;IXPUB技术博客�R"S)a�u6S5F9W�]
} |
�i�e�@-L9S
m9R+D)X�A�o0hijack()函数主要是判断是不是目标程序,如果是就调用PatchProcess()进行补丁。
void hijack()
�t)t6W+Q!u�A�Q�W�i�q0{
E�]$o"L�F�X�G
K0if (isTarget(GetCurrentProcess())) //判断主程序是不是目标程序,是则补丁之
�J4{�C*]�?)}�Y�a0{IXPUB技术博客4p�P8{;N�^�V
}
PatchProcess(GetCurrentProcess());
�x'Q�[�|�Q0}IXPUB技术博客/M
{�B�k:F:E�k7V
} |
IXPUB技术博客%M�D2O,G6H-h#J4Y�C,rIXPUB技术博客-n�v�m,C2I�}�j
伪造的ws2_32.dll制作好后,放到程序当前目录下,这样当原程序调用WSASTartup函数时就调用了伪造的ws2_32.dll的WSASTartup函数,此时hijack()函数负责核对目标程序校验,并将相关数据补丁好,处理完毕后,转到系统目录下的ws2_32.dll执行。IXPUB技术博客(l P�m!V�q�|#c�K
�O�~�p2I;_�R�Y:g�R8X0这种补丁技术,对加壳保护的软件很有效,选择挂接的函数最好是在壳中没有被调用的,当挂接函数被执行时,相关的代码已被解压,可以直接补丁了。在有些情况下,必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测,很适合加壳程序的补丁制作。IXPUB技术博客�p�]�M�m4w�w�D5s�q
.X |0h6z2C3M2T0一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll,应引起注意。IXPUB技术博客�z�b(b.Y2j,r�D
a
