VC++动态链接库编程之DLL木马

//错误处理函数CheckError()

void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg)

{

if(iReturnCode==iErrorCode)

{

printf("%s Error:%d\n\n", pErrorMsg, GetLastError());

//清场处理

if (pszLibFileRemote != NULL)

{

VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);

}

if (hRemoteThread != NULL)

{

CloseHandle(hRemoteThread );

}

if (hRemoteProcess!= NULL)

{

CloseHandle(hRemoteProcess);

}

exit(0);

}

}

从DLL木马注入程序的源代码中我们可以分析出DLL木马注入的一般步骤为：

（1）取得宿主进程（即要注入木马的进程）的进程ID dwRemoteProcessId；

（2）取得DLL的完全路径，并将其转换为宽字符模式pszLibFileName；

（3）利用Windows API OpenProcess打开宿主进程，应该开启下列选项：

a.PROCESS_CREATE_THREAD：允许在宿主进程中创建线程；

b.PROCESS_VM_OPERATION：允许对宿主进程中进行VM操作；

c.PROCESS_VM_WRITE：允许对宿主进程进行VM写。

（4）利用Windows API VirtualAllocEx函数在远程线程的VM中分配DLL完整路径宽字符所需的存储空间，并利用Windows API WriteProcessMemory函数将完整路径写入该存储空间；

（5）利用Windows API GetProcAddress取得Kernel32模块中LoadLibraryW函数的地址，这个函数将作为随后将启动的远程线程的入口函数；

（6）利用Windows API CreateRemoteThread启动远程线程，将LoadLibraryW的地址作为远程线程的入口函数地址，将宿主进程里被分配空间中存储的完整DLL路径作为线程入口函数的参数以另其启动指定的DLL；

（7）清理现场。

DLL木马的防治

从DLL木马的原理和一个简单的DLL木马程序中我们学到了DLL木马的工作方式，这可以帮助我们更好地理解DLL木马病毒的防治手段。

一般的木马被植入后要打开一网络端口与攻击程序通信，所以防火墙是抵御木马攻击的最好方法。防火墙可以进行数据包过滤检查，我们可以让防火墙对通讯端口进行限制，只允许系统接受几个特定端口的数据请求。这样，即使木马植入成功，攻击者也无法进入到受侵系统，防火墙把攻击者和木马分隔开来了。

对于DLL木马，一种简单的观察方法也许可以帮助用户发现之。我们查看运行进程所依赖的DLL，如果其中有一些莫名其妙的DLL，则可以断言这个进程是宿主进程，系统被植入了DLL木马。"道高一尺，魔高一丈"，现如今，DLL木马也发展到了更高的境界，它们看起来也不再"莫名其妙"。在最新的一些木马里面，开始采用了先进的DLL陷阱技术，编程者用特洛伊DLL替换已知的系统DLL。特洛伊DLL对所有的函数调用进行过滤，对于正常的调用，使用函数转发器直接转发给被替换的系统DLL；对于一些事先约定好的特殊情况，DLL会执行一些相应的操作。

本文给出的只是DLL木马最简单情况的介绍，读者若有兴趣深入研究，可以参考其它资料。

上一页  [1] [2] [3]