[讨论]是什么留下了注入DLL的痕迹？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]是什么留下了注入DLL的痕迹？

2018-1-22 17:42 6629

[讨论]是什么留下了注入DLL的痕迹？

jhjzero

2018-1-22 17:42

6629

很普通的用VirtualAllocEx和CreateRemoteThread对目标进程A注入了自己的dll。

在Loader.exe退出之后，再运行一个检测程序B，依然被检测出了Loader.exe的存在并且给出了文件路径，而且改名了Loader.exe都没有用，显然是留下了File Object的痕迹。

而且考虑到检测程序是在Loader已经执行完退出之后才运行的，那么应该是VirtualAllocEx或者CreateRemoteThread留下了痕迹，有谁知道是哪个留下的痕迹吗？应该怎么抹除？

用下面这样的步骤是不是能更好的隐藏掉注入痕迹？

1. 在目标进程分配内存块X

2. 修改目标进程的EIP跳入新分配的内存块X执行，X中代码通知Loader并进入等待

3. Loader在自身进程空间加载要注入的DLL，并且通知目标进程中内存块X的代码

4. X中的代码根据DLL在Loader中的大小，分配内存块Y

5. 通过RPM把Loader中的DLL所在内存拷贝到内存块Y中，并且CreateThread执行。

6. 释放内存块X并跳回原EIP地址

这样在理论上是不是注入之后再运行的检测程序几乎就无痕迹可查了？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

点赞・0

打赏

最新回复 (14)
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 294 粉丝 3 关注私信	czcqq 2 2018-1-22 18:08 2 楼 0 除非自己分析加载dll，否则都是可以被检查到的
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	jhjzero 1 2018-1-22 18:16 3 楼 0 czcqq 除非自己分析加载dll，否则都是可以被检查到的所以我后面提出的这个步凑就是基于这些考虑目标进程空间内，注入的DLL所在内存块Y是由目标进程本身分配的，DLL加载行为本身也是在Loader进程内完成，目标进程只是CopyMemory了一份而已。对64位进程应该拷贝过来直接能用，32位就还要根据PE头中的重定位数据处理一遍。从注入之后的结果来看，目标进程只是多了一块由目标进程自己分配的内存并且多了一个线程。唯一可能留下痕迹的就是中转用的内存块X是通过VirtualAllocEx分配，但加载完毕后这块内存也释放掉了，这样是否还会留下痕迹？
萌克力雪币： 433 活跃值： (1825) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 606 粉丝 29 关注私信	萌克力 2018-1-22 22:26 4 楼 0 先比速度,再比猥琐
fjqisba 雪币： 4075 活跃值： (5888) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 232 粉丝 51 关注私信	fjqisba 2018-1-22 23:35 5 楼 0 路过帮顶,CreateRemoteThread是不是异步的呢
mudebug 雪币： 8132 活跃值： (5330) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 304 粉丝 31 关注私信	mudebug 2018-1-23 03:03 6 楼 0 VirtualAllocEx调用后输出分配的地址。然后用CE去看目标进程的地址内容。你会发现你自己好像漏了啥
rock 雪币： 225 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 2018-1-23 10:48 7 楼 0 很好奇，检测程序B 是什么？能放出来吗？
sudozhange 雪币： 281 活跃值： (1085) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 94 粉丝 72 关注私信	sudozhange 5 2018-1-23 12:17 8 楼 0 你说的这个是不是我可以理解成反射式注入DLL，刚刚发的帖子：https://bbs.pediy.com/thread-224241.htm，不过我没有实现内存块的释放。有些不同的是，这里是DLL自身实现的loader，注射器注射之后，就没有作用了，你的这种注入，CreateRemoteThread函数执行的线程函数是不是LoadLibrary？这是可以被某些监控工具检测到的
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	jhjzero 1 2018-1-23 16:23 9 楼 0 试验了一下，还没有做到这个程度，仅仅是做了一个“跳板”似乎就解决问题了。也就是VirtualAllocEx和CreateRemoteThread之后，在目标进程中再VirtualAlloc和CreateThread，释放掉Loader创建的内存和线程，改成在目标进程内部创建出来的内存和线程来Load DLL，暂时就还没检测出来了。再多运行几次，跑一段时间看看，确认一下吧。
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2018-1-25 19:59 10 楼 0 有一个方法很简单火绒剑看不到 pchunter能看到卸载蓝屏。。目前测试只能win7x64可以用 win10 1703不行其它版本不知道。。
allh 雪币： 39 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	allh 2018-1-26 22:29 11 楼 0 你的这个方法可以通过GetModuleHandle 拿到文件句柄的。而且底层调用ntdll的 LdrLoadDll，以及LdrRegisterDllNotification 都能监控到。你要自己实现dll加载应该就可以绕过去了
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	jhjzero 1 2018-1-26 23:51 12 楼 0 allh 你的这个方法可以通过GetModuleHandle 拿到文件句柄的。而且底层调用ntdll的 LdrLoadDll，以及LdrRegisterDllNotification 都能监控到。你要自己实现 ... 是的，最后还是要用从内存加载DLL，这样才能最好的隐藏。只是之前被检测出来的不是DLL本身，而是用于注入DLL的Loader.exe。而且奇怪的是Loader.exe在被检测出来的时候，其进程早就已经退出了。但是Loader.exe的File Object依然存留在内存中，这个残留的痕迹才是要最优先解决的。
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 294 粉丝 3 关注私信	czcqq 2 2018-2-22 12:22 13 楼 0 jhjzero 是的，最后还是要用从内存加载DLL，这样才能最好的隐藏。只是之前被检测出来的不是DLL本身，而是用于注入DLL的Loader.exe。而且奇怪的是Loader.exe在被检测出来的时候，其进程早就 ... 你这是哪个文件没有释放吧？不应该啊，实在不行，用Rundll32.exe这接口
zyla 雪币： 45 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	zyla 2018-4-20 14:02 15 楼 0 jhjzero 试验了一下，还没有做到这个程度，仅仅是做了一个“跳板”似乎就解决问题了。也就是VirtualAllocEx和CreateRemoteThread之后，在目标进程中再VirtualAlloc和Cre ... 此方式目前测试情况如何？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

jhjzero

发帖

回帖

RANK

关注

私信

他的文章

[讨论]是什么留下了注入DLL的痕迹？

[原创]第二阶段第二题答案提交

[原创]我的第二轮比赛第一题解题思路(51bytes)

[原创]答案提交--虽然不是参赛选手，还请判一下答卷

[原创]答案提交————注册时间晚上8.23号12点

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 294 粉丝 3 关注私信	czcqq 2 2018-1-22 18:08 2 楼 0 除非自己分析加载dll，否则都是可以被检查到的
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	jhjzero 1 2018-1-22 18:16 3 楼 0 czcqq 除非自己分析加载dll，否则都是可以被检查到的所以我后面提出的这个步凑就是基于这些考虑目标进程空间内，注入的DLL所在内存块Y是由目标进程本身分配的，DLL加载行为本身也是在Loader进程内完成，目标进程只是CopyMemory了一份而已。对64位进程应该拷贝过来直接能用，32位就还要根据PE头中的重定位数据处理一遍。从注入之后的结果来看，目标进程只是多了一块由目标进程自己分配的内存并且多了一个线程。唯一可能留下痕迹的就是中转用的内存块X是通过VirtualAllocEx分配，但加载完毕后这块内存也释放掉了，这样是否还会留下痕迹？
萌克力雪币： 433 活跃值： (1825) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 606 粉丝 29 关注私信	萌克力 2018-1-22 22:26 4 楼 0 先比速度,再比猥琐
fjqisba 雪币： 4075 活跃值： (5888) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 232 粉丝 51 关注私信	fjqisba 2018-1-22 23:35 5 楼 0 路过帮顶,CreateRemoteThread是不是异步的呢
mudebug 雪币： 8132 活跃值： (5330) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 304 粉丝 31 关注私信	mudebug 2018-1-23 03:03 6 楼 0 VirtualAllocEx调用后输出分配的地址。然后用CE去看目标进程的地址内容。你会发现你自己好像漏了啥
rock 雪币： 225 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 323 粉丝 1 关注私信	rock 2018-1-23 10:48 7 楼 0 很好奇，检测程序B 是什么？能放出来吗？
sudozhange 雪币： 281 活跃值： (1085) 能力值： ( LV13，RANK：405 ) 在线值：发帖 28 回帖 94 粉丝 72 关注私信	sudozhange 5 2018-1-23 12:17 8 楼 0 你说的这个是不是我可以理解成反射式注入DLL，刚刚发的帖子：https://bbs.pediy.com/thread-224241.htm，不过我没有实现内存块的释放。有些不同的是，这里是DLL自身实现的loader，注射器注射之后，就没有作用了，你的这种注入，CreateRemoteThread函数执行的线程函数是不是LoadLibrary？这是可以被某些监控工具检测到的
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	jhjzero 1 2018-1-23 16:23 9 楼 0 试验了一下，还没有做到这个程度，仅仅是做了一个“跳板”似乎就解决问题了。也就是VirtualAllocEx和CreateRemoteThread之后，在目标进程中再VirtualAlloc和CreateThread，释放掉Loader创建的内存和线程，改成在目标进程内部创建出来的内存和线程来Load DLL，暂时就还没检测出来了。再多运行几次，跑一段时间看看，确认一下吧。
Tennn 雪币： 1176 活跃值： (1219) 能力值： ( LV12，RANK：380 ) 在线值：发帖 35 回帖 725 粉丝 60 关注私信	Tennn 5 2018-1-25 19:59 10 楼 0 有一个方法很简单火绒剑看不到 pchunter能看到卸载蓝屏。。目前测试只能win7x64可以用 win10 1703不行其它版本不知道。。
allh 雪币： 39 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	allh 2018-1-26 22:29 11 楼 0 你的这个方法可以通过GetModuleHandle 拿到文件句柄的。而且底层调用ntdll的 LdrLoadDll，以及LdrRegisterDllNotification 都能监控到。你要自己实现dll加载应该就可以绕过去了
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	jhjzero 1 2018-1-26 23:51 12 楼 0 allh 你的这个方法可以通过GetModuleHandle 拿到文件句柄的。而且底层调用ntdll的 LdrLoadDll，以及LdrRegisterDllNotification 都能监控到。你要自己实现 ... 是的，最后还是要用从内存加载DLL，这样才能最好的隐藏。只是之前被检测出来的不是DLL本身，而是用于注入DLL的Loader.exe。而且奇怪的是Loader.exe在被检测出来的时候，其进程早就已经退出了。但是Loader.exe的File Object依然存留在内存中，这个残留的痕迹才是要最优先解决的。
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 294 粉丝 3 关注私信	czcqq 2 2018-2-22 12:22 13 楼 0 jhjzero 是的，最后还是要用从内存加载DLL，这样才能最好的隐藏。只是之前被检测出来的不是DLL本身，而是用于注入DLL的Loader.exe。而且奇怪的是Loader.exe在被检测出来的时候，其进程早就 ... 你这是哪个文件没有释放吧？不应该啊，实在不行，用Rundll32.exe这接口
zyla 雪币： 45 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	zyla 2018-4-20 14:02 15 楼 0 jhjzero 试验了一下，还没有做到这个程度，仅仅是做了一个“跳板”似乎就解决问题了。也就是VirtualAllocEx和CreateRemoteThread之后，在目标进程中再VirtualAlloc和Cre ... 此方式目前测试情况如何？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复