萌新逆向学习笔记——CreateRemoteThread的Shellcode

前言

笔者已经有一段时间没发文了,说实话最近学习逆向没劲儿,不知道是不是因为天气总是变化无常,人感觉有点疲惫。

友情提示:下面一堆笔者废话,所以只想看技术细节可跳过。

之前一直在看韩国人写的《逆向工程核心原理》,但总感觉缺了点什么,于是乎买了本《加密与解密》。总体上来说看到现在给我的感觉就是,很难,似乎较为注重理论知识。与《逆向工程核心原理》一章好几个实践不同,《加密与解密》前面用了大部分章节去介绍诸如动静分析技术,加密算法,window内核等基础理论知识。较为后面才有HOOK,注入等偏实践的内容。即便有实践其过程也没有《逆向工程核心原理》那么详细和细致。所以个人认为,刚入门还是先看《逆向工程核心原理》,根据上面的内容去实践,熟悉win32的开发和一些常用的API,有了基础再去看《加密与解密》。不然就可能会和笔者一样,被《加密与解密》其前面庞大的基础理论内容搞得晕头转向, 丧失一定的兴趣和耐心。

回到这次的主题上,这次的内容是使用CreateRemoteThread的方法在目标进程中运行自己写的Shellcode,大部分内容是效仿《加密与解密》中的一些代码。虽然《逆向工程核心原理》中也有提到,但是当时笔者没怎么留意,一些写Shellcode的便捷方法书里也没提到,所以当时也就放弃了。在看到《加密与解密》中用了一些较为人性的方法写Shellcode时,于是便想试试,才有了这篇文章。

原理

提醒:本文全篇使用的均是32位的程序
上一篇文章中,笔者介绍了使用CreateRemoteThread去迫使其他进程执行LoadLibrary并加载我们自定义的DLL以达到目的。而事实上只要我们定义的函数的模板符合CreateRemoteThread参数中定义的函数模板,就能通过远程线程的方式去执行它,而不仅限于LoadLibrary。

DWORD WINAPI ThreadProc(
  _In_ LPVOID lpParameter
);

所以我们只要定义只有一个参数的函数,把它转换成LPTHREAD_START_ROUTINE(这是一个指向上面模板的指针)就可以了。

可问题来了,参数只有一个,万一我的函数用了若干个参数呢?而且这个参数必须位于目标进程的虚拟内存当中,否则是无法使用的。

对于第二个问题,我们可以使用VirtualAllocEx函数向目标申请内存虚拟空间。

对于第一个问题,我们可以构建一个结构体,存放所有的参数,然后在调用的时候通过内存偏移来访问参数:

typedef struct _INJECT_DATA
{
    char lpText[8];  //参数1
    char lpCaption[8];  //参数2
}INJECT_DATA;

那有没有更加方便快捷的方法呢?结合上面两点就产生了本篇文章的主旨内容Shellcode。

有人说Shellcode仅限于Linux和unix,而经百度似乎也有很多种说法。个人理解是一段被注入后可独立运行,依赖性少或完全没依赖的代码。为了撇开争论,暂且保持书上所说的那样,称之为Shellcode。

说的直白一点,其实就是把参数,要运行的函数地址全部放到结构体里,最后以一段用汇编编写的Shellcode运行起来。以调用MessageBoxA弹出窗口的Shellcode为示例:

首先是存放Shellcode和参数,函数地址的结构体:

typedef struct _INJECT_DATA
{
    BYTE shellCode[0x1D];  //一段ShellCode执行MessageBoxA
    char lpText[8];  //message
    char lpCaption[8];  //title
    LPVOID lpThreadStart;  //MessageBoxA地址
}INJECT_DATA;

一段Shellcode:

__declspec (naked)
void shellCodeFun(void) {
    __asm {
        call L001;

        L001:
        pop ebx;
        //sub ebx, 5;
        and bx, 0;
        push 0;
        lea esi, dword ptr ds : [ebx]INJECT_DATA.lpCaption ;  //0x25注意偏移量
        push esi;
        lea esi, dword ptr ds : [ebx]INJECT_DATA.lpText ;  //0x1D
        push esi;
        push 0;
        call dword ptr ds : [ebx]INJECT_DATA.lpThreadStart ;  //0x2D
        ret;
    }
}

最后把整个结构体通过CreateRemoteThread注入即可。因为结构体的起始地址就是Shellcode的起始地址,因此注入后Shellcode就会运行起来。

实践

步骤一定义和初始化:

定义结构体和编写Shellcode,当然这些都是根据自己的需求来具体定义的,在这里同样以弹框来做示例(Shellcode代码在上面,这里不赘述):

    INJECT_DATA data;
    ZeroMemory(&data, sizeof(INJECT_DATA));
    PBYTE pShellCode = (PBYTE)shellCodeFun;
#ifdef DEBUG
    if (pShellCode[0] == 0xE9)
    {
        //debug环境下会多一个jmp xxxx指令,必须拿到xxxx地址,地址大小为5字节
        //因为jump xxxx,这个xxxx为相对地址,所以为 目前地址+xxxx地址+整个jmp指令长度
        pShellCode = pShellCode + *(ULONG*)(pShellCode + 1) + 5; 
    }
#endif // DEBUG
    memcpy(data.shellCode, pShellCode, sizeof(data.shellCode));
    char text[] = "message";
    char title[] = "title";
    memcpy(data.lpText, text, 8);
    memcpy(data.lpCaption, title, 8);
    /*data.lpText = text;
    data.lpCaption = title;*/  //值一定要在目标进程空间内
    HMODULE hmod = GetModuleHandleA("user32.dll");
    FARPROC dialog = GetProcAddress(hmod, "MessageBoxA");
    data.lpThreadStart = dialog;

这里说一下一些注意事项:

  1. 结构体需要初始化,用诸如ZeroMemory的函数来进行初始化,不然会报错。
  2. 说明一下Shellcode中部分代码:
        call L001;  //自己是为了自定位,为了拿到Shellcode开始的地址,也即是结构体的地址。

        L001:
        pop ebx;  //拿出call时保存的返回地址
        and bx, 0;  //因为使用VirtualAllocEx函数申请的虚拟内存都是64kb对齐的,只要低地址。
        push 0;
        lea esi, dword ptr ds : [ebx]INJECT_DATA.lpCaption ; 
        .... 
  1. 注入进程是debug版本,需要对Shellcode地址做额外处理:
#ifdef DEBUG
    if (pShellCode[0] == 0xE9)
    {
        //debug环境下会多一个jmp xxxx指令,必须拿到xxxx地址,地址大小为5字节
        //因为jump xxxx,这个xxxx为相对地址,所以为 目前地址+xxxx地址+整个jmp指令长度
        pShellCode = pShellCode + *(ULONG*)(pShellCode + 1) + 5; 
    }
#endif // DEBUG

如何依旧无法理解,可移步到文末的附加说明。

步骤二申请内存并写入:

通过VirtualAllocEx申请虚拟内存,通过WriteProcessMemory写入虚拟内存:

int injectSize = sizeof(INJECT_DATA);
PBYTE mBuffer = (PBYTE)VirtualAllocEx(mProcess, NULL, injectSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);  //注意要为 PAGE_EXECUTE_READWRITE
WriteProcessMemory(mProcess, mBuffer, &data, injectSize, NULL)

步骤三建立远程线程执行:

mRemoteThread = CreateRemoteThread(mProcess, NULL, 0, (LPTHREAD_START_ROUTINE)mBuffer, NULL, 0, NULL);

总结

第一次写Shellcode,虽然看上去简单,但却遇到了很多问题。例如什么是Shellcode中的自定位,Shellcode中如何使用参数,如何使用调试器调试等等。

说实话这次将MessageBox作为示例,但个人感觉似乎不太妥当。因为只有当目标程序加载了User32.dll,这段Shellcode才能生效。也就是说这里的Shellcode对User32.dll这个库产生了依赖。或许可以在ntdll.dll中找到与之对应的函数,调用这个才更符合Shellcode无依赖的定义吧。

Shellcode的应用很广泛,粗略看了《加密与解密》,书中介绍到很多注入都是编写Shellcode并利用形同如CreateRemoteThread函数能执行一段函数的特性来实现的。所以以后凡是看到一个函数能调用其另一个函数,就有这种注入的可能。

附加说明

第一条:使用调试器调试

这条才是最重要的,因为所有的疑问都能在调试器里找到答案。

为了调试远程线程,首先我们在visual studio中对CreateRemoteThread打上断点:

1.png

然后用ollydbg或者x32dbg附加目标程序,随后设置线程开始断点:

2.png

再然后运行我们的注入程序,程序会在创建远程线程的地方断点:

image.png

同时记录我们调用VirtualAllocEx时返回的内存地址,这是我们Shellcode所在的目标进程的地址。

在调试器中跳到这个地址,然后我们就能看到自己写的Shellcode:


4.png

当然我们来这里不是为了旅游的,打下断点,并且让visual studio中的断点继续运行,调试器会在线程开始的地方断下(因为我们设置过):

5.png

F9运行后就能到我们Shellcode的断点了。

其实只要找到Shellcode地址下断就行了,并不需要在olldbg/32xdbg中设置线程开始的断点。只不过这样做是为了更直观的看到线程的工作流程。

第二条Shellcode自定位

为什么要用到Shellcode自定位,因为我们要确定Shellcode在目标程序中的虚拟内存地址。

为什么要用到这个地址,因为我们Shellcode中用到的参数,如文中弹窗标题,内容等,都需要通过这个地址来寻找。

为什么能通过Shellcode地址定位到我们参数的地址?因为我们的Shellcode和参数都是放到同一个结构体中的,而结构体里的成员地址都是连续的。结构体的首地址便是结构体中定义的第一个成员的地址(文中的是Shellcode)。

8.png

使用Call会将Call下一条的地址入栈,随后使用pop拿出来这条地址,通过低16位and运算置0(书上说的是因为使用VirtualAllocEx申请的内存大小是64kb对齐,说实话我也没搞懂),或者sub减去5(Call 地址指令的大小),就能拿到基址:

7.png

这样,我们就可以通过基址+Shellcode大小+偏移量拿到参数,也可以通过dword ptr ds : [ebx]INJECT_DATA.lpCaption这样的方法拿到参数。

第三条debug版本中Shellcode地址处理

当我们的注入程序是debug版本,在把Shellcode写入结构体前,需要对Shellcode的地址进行处理:

#ifdef DEBUG
    if (pShellCode[0] == 0xE9)
    {
        //debug环境下会多一个jmp xxxx指令,必须拿到xxxx地址,地址大小为5字节
        //因为jump xxxx,这个xxxx为相对地址,所以为 目前地址+xxxx地址+整个jmp指令长度
        pShellCode = pShellCode + *(ULONG*)(pShellCode + 1) + 5; 
    }
#endif // DEBUG

这是因为处于debug版本的注入程序下,会在跳到真正的函数地址前多出一个jmp指令的中间层:

9.png

如果此时没有对地址进行处理,本来应该复制Shellcode的代码到结构体成员当中,现在却复制了 jmp xxxx代码,从而造成错误。

因此我们在debug版下必须对地址进行处理。
而处理的方法就是将当前指向jmp代码的地址加上jmp后面的地址,最后在加上整个jmp指令的长度。

真正的Shellcode地址=006E180C(当前指向jmp的地址)+9EFF(jmp指令后面的地址数据)+5(jmp指令长度)=6EB710

造成这种现象是因为debug版本下编译器并没有进行优化,使得函数的调用都有一个jmp表,如上图。

而十六进制为E9的jmp为近距离跳转,也就是说jmp后面跟的地址是相对于这条jmp指令的相对地址,也叫偏移。因此,两者相加,最后加上指令本身的长度,就能获得原地址了。

附件

附件中的源程序包含之前文章DLL注入代码,可无视,输入进程PID后,按1即可进行Shellcode注入。

https://share.weiyun.com/AhueFz5l

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,616评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,020评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,078评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,040评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,154评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,265评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,298评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,072评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,491评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,795评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,970评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,654评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,272评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,985评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,815评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,852评论 2 351