本文描述了一种动态链接库(DLL)如何从内存中加载,而不首先将其存储在硬盘上的技术。

概述

默认的Windows API函数加载外部库到程序(LoadLibrary,LoadLibraryEx)与文件系统上的文件进行通信工作,因此不可能从内存中加载dll。但有时,我们需要确切的功能,也就是不让文件落地磁盘,从而减小被杀毒软件检测风险。所以有了内存动态加载文件的思路出现,比较典型的就是反射DLL技术,本地内存DLL反射等技术,本文要讲的是内存加载DLL技术。

0x00 简介

内存加载DLL技术和反射DLL技术的利用方式相近,这两种技术都是从内存中加载dll,因为文件不落地磁盘,所以杀毒软件检测有一定难度。

在大多数文章中,我们看到的介绍都是比较简单的,直接给出代码,其原理解释也是比较少的,所以我们要自己定制功能就需要大量的修改代码。目前来讲,内存加载DLL技术比反射DLL技术应用少,主要是反射DLL需要的loader大小和代码量比内存加载DLL的少; 反射DLL主要加载代码在DLL中,而内存加载DLL的主要代码在loader中,所以造成了内存加载DLL的应用不如反射DLL的广,但是这样并不影响我们过杀软的检测和其功能的隐蔽性。

0x01 技术实现

内存加载DLL其实并不算神秘,也不是什么新技术,技术也是十几年前的,但是关注这方面的人很少。内存加载DLL可以说就是在本地重新写了一个PE装载器,把DLL加载进内存读取运行,仅此而已,但是它过查杀效果是很好的。

一般地,导入加载DLL,我们需要重定位和修复DLL的导入导出表,找到我们需要调用的函数地址,加载它。

详细的加载步骤如下:

打开给定的文件并检查DOS和PE头文件。

尝试分配一个字节的内存块在peheader.optionalheader.imagebase位置上。

解析section headers 和复制sections到它们的地址。每一段的section分配到内存块的相对地址,存储在image_section_header结构的virtualaddress属性中。

如果分配的内存块不同于ImageBase的基址。代码或数据段中的各种引用必须进行调整。这就是地址重定位。

必须通过加载相应的库来解决库所需的导入。

不同部分的内存区域必须根据节的特性进行保护。有些部分被标记为可以丢弃,因此可以安全地释放。在这一点上,这些部分通常包含在导入期间需要的临时数据,用于地址重定位的信息。

现在,这个库已完全加载。它必须被通知通过dll_process_attach调用的入口点。

首先,我们要把完整的DLL数据加载进内存,然后调用函数 MemoryLoadLibrary()来进行重定位操作

HMEMORYMODULE MemoryLoadLibrary(const void *data)
{
    return MemoryLoadLibraryEx(data, _LoadLibrary, _GetProcAddress, _FreeLibrary, NULL);
}

MemoryLoadLibraryEx()函数返回加载后的数据和导出函数地址等。

现在,我们已经找到了相关DLL的数据,我们在得到DLL的句柄后,利用函数MemoryGetProcAddress()得到DLL的导出函数,进而把程序控制权交给DLL。

FARPROC MemoryGetProcAddress(HMEMORYMODULE module, LPCSTR name)
{
    unsigned char *codeBase = ((PMEMORYMODULE)module)->codeBase;
    int idx=-1;
    DWORD i, *nameRef;
    WORD *ordinal;
    PIMAGE_EXPORT_DIRECTORY exports;
    PIMAGE_DATA_DIRECTORY directory = GET_HEADER_DICTIONARY((PMEMORYMODULE)module, IMAGE_DIRECTORY_ENTRY_EXPORT);
    if (directory->Size == 0) {
        // no export table found
        SetLastError(ERROR_PROC_NOT_FOUND);
        return NULL;
    }

    exports = (PIMAGE_EXPORT_DIRECTORY) (codeBase + directory->VirtualAddress);
    if (exports->NumberOfNames == 0 || exports->NumberOfFunctions == 0) {
        // DLL doesn't export anything
        SetLastError(ERROR_PROC_NOT_FOUND);
        return NULL;
    }

    // search function name in list of exported names
    nameRef = (DWORD *) (codeBase + exports->AddressOfNames);
    ordinal = (WORD *) (codeBase + exports->AddressOfNameOrdinals);
    for (i=0; i<exports->NumberOfNames; i++, nameRef++, ordinal++) {
        if (_stricmp(name, (const char *) (codeBase + (*nameRef))) == 0) {
            idx = *ordinal;
            break;
        }
    }

    if (idx == -1) {
        // exported symbol not found
        SetLastError(ERROR_PROC_NOT_FOUND);
        return NULL;
    }

    if ((DWORD)idx > exports->NumberOfFunctions) {
        // name <-> ordinal number don't match
        SetLastError(ERROR_PROC_NOT_FOUND);
        return NULL;
    }

    // AddressOfFunctions contains the RVAs to the "real" functions
    return (FARPROC) (codeBase + (*(DWORD *) (codeBase + exports->AddressOfFunctions + (idx*4))));
}

在执行完DLL后,对资源进行释放MemoryFreeLibrary()。

void MemoryFreeLibrary(HMEMORYMODULE mod)
{
    int i;
    PMEMORYMODULE module = (PMEMORYMODULE)mod;
    if (module != NULL) {
        if (module->initialized != 0) {
            // notify library about detaching from process
            DllEntryProc DllEntry = (DllEntryProc) (module->codeBase + module->headers->OptionalHeader.AddressOfEntryPoint);
            (*DllEntry)((HINSTANCE)module->codeBase, DLL_PROCESS_DETACH, 0);
            module->initialized = 0;
        }
        if (module->modules != NULL) {
            // free previously opened libraries
            for (i=0; i<module->numModules; i++) {
                if (module->modules[i] != NULL) {
                    module->freeLibrary(module->modules[i], module->userdata);
                }
            }
            free(module->modules);
        }
        if (module->codeBase != NULL) {
            // release memory of library
            VirtualFree(module->codeBase, 0, MEM_RELEASE);
        }
        HeapFree(GetProcessHeap(), 0, module);
    }
}

由于篇幅问题,不可能把代码全部贴出来讲解,内存加载DLL的大概就是这个样子的。

  1. 首先,我们读取DLL数据到内存中
  2. 利用第三方函数进行DLL的重定位操作
  3. 拿到内存中DLL的相关数据,比如:当前内存中DLL的地址,导出函数,DLL资源等
  4. _GetProcAddress()拿到DLL导出函数地址
  5. 直接调用导出函数
  6. 释放DLL资源

详细的代码请参考地址:http://github.com/fancycode/memorymodule

详细的原理请参考地址:https://www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/

0x02 加载测试

编写一个DLL,没错,就这么简单

extern "C" {

SAMPLEDLL_API int addNumbers(int a, int b)
{
    return a + b;
}
}

把DLL加载进内存并用DLLloader调用addNumbers函数

执行结果

0x03 实际应用

我们可以用此加载方法做一个云端木马。
我们在VPS上搭建一个Web服务器,在上面用一个页面放一个DLL文件的数据,然后读取数据并加载进内存。

我们也可以把它用于DLL劫持利用,分解型后门的组合式调用等等。

当然,我们也可以做一个RAT工具,内存加载DLL的具体应用如下
我们利用工具生成内存加载Loader程序

另一端进行监听,当Loader连接过来时,我们发送需要调用的DLL程序过去,进而控制被攻击机器

被攻击机器

过杀软效果

我们可以看到,在没有进行任何免杀过程中,只有一款杀软报毒,过杀软效果还是很好的,杀毒软件检测截图

http://r.virscan.org/report/a27eb8603abaedf2278d059b11aa8540

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖

先知安全技术社区