-
-
[原创]常见进程注入的实现及内存dump分析——Process Hollowing(冷注入)
-
2018-2-20 16:43
-
前言
新年的第一次发帖,祝大家新年快乐!在前几篇帖子中,介绍了几种常见的内存注入技术及分析,前几天在Twitter上看到有人又谈论起了Process Hollowing这种注入方法,研究了一下,用这篇帖子记录下。该方法有两种实现方式,分为“冷”注入和“热”注入,该帖仅讨论“冷”注入,这种注入方式在前两年被较多的恶意软件使用,如勒索软件Locky。我在网上的代码的基础上,进行了一些更改,支持了x64下的注入,并与上篇帖子《常见进程注入的实现及内存dump分析——内存模块 》进行了结合,实现了远程内存加载,让恶意内存区段看起来更接近正常区段。
借用EndGame的描述图(侵删)
环境
OS:Windows 10 PRO 1709
IDE:Visual Studio 2015 Community
语言:Visual C++
步骤
实现1、创建挂起的进程。2、卸载掉原来的模块。3、写入新的文件。4、恢复现场。
1、创建挂起的进程。CreateProcessA(NULL, lpCommandLine, NULL,NULL, NULL, CREATE_SUSPENDED, NULL, NULL, lpStartupInfo, lpProcessInformation );2、获取模块的基地址(通过PEB获取)。首先,我们要获取目标进程的PEB结构,可以通过NtQueryInformationProcess函数来获取进程信息PROCESS_BASIC_INFORMATION,进程信息中保存着PEB的地址指针。结构如下:struct PROCESS_BASIC_INFORMATION { PVOID Reserved1; PVOID PebBaseAddress; PVOID Reserved2[2]; DWORD UniqueProcessId; PVOID Reserved3; };获取PROCESS_BASIC_INFORMATION结构体。ntQueryInfomationProcess(hProcess, 0, pProcessInformation, sizeof(PROCESS_BASIC_INFORMATION), &dwReturnLength);获取到PEB的地址后,读取内存,即可获取到PEB结构体。ReadProcessMemory(hProcess, dwPEBAddress, pPEB, sizeof(__PEB), 0);PEB结构中保存着镜像的基地址(要卸载的模块)。3、卸载模块。NtUnmapViewSection(lpProcessInformation->hProcess, pPEB->lpImageBaseAddress);4、将新的PE文件加载到目标进程,替代卸载掉的模块。新的PE文件加载,我使用的是Memory Module方式,加大了被发现和分析的难度。具体的实现可参考上篇帖子,地址在片头已经给出。要注意的地方:由于镜像加载到的是另一进程,所以,涉及到数据修改的地方,尽量保存在Dropper进程的PE文件的副本中,避免多次读取目标进程内存。5、获取目标进程的主线程上下文,并对上下文进行修改。每个线程内核对象都维护着一个CONTEXT结构,里面保存了线程运行的状态,使得CPU可以记得上次运行该线程运行到哪里了,该从哪里开始运行。
获取上下文。ULONG_PTR dwEntryPoint = (ULONG_PTR)pPEB->lpImageBaseAddress +pSourceHeader->OptionalHeader.AddressOfEntryPoint; LPCONTEXT pContext = new CONTEXT(); pContext->ContextFlags = CONTEXT_INTEGER; GetThreadContext(lpProcessInformation->hThread, pContext);修改Context。#ifdef _WIN64 pContext->Rcx = dwEntryPoint; #else pContext->Eax = dwEntryPoint; #endif // _WIN6432位模式下的eax寄存器,保存的值为程序的入口点地址,即镜像加载基址+镜像内偏移。而在64为模式下,变为了Rcx寄存器。6、设置上下文,恢复线程。SetThreadContext(lpProcessInformation->hThread, pContext); ResumeThread(lpProcessInformation->hThread);
结果
分析
从上面的结果中,可以发现,缺少了进程的可执行模块。正常进程在排查的过程中,可以从用户启动的进程入手。从进程属性上看,存在着明显的信息。对代码,进行逆向分析,会发现一些敏感函数。由于进程中的可执行模块已经被替换掉,所以可以直接从进程中dump,然后使用ida进行分析payload。dump之后,可能需要重新修复导入表。我在dump64位进程的时候,没有找到合适的修复工具,使用IDA和x64dbg手工修复的。可以根据地址,在Process Hacker找到归属的DLL,然后再使用IDA找到函数名。
最后
参考
最后于 2018-2-21 18:33
被sudozhange编辑
,原因: URL Error
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
作用主要在分析  ,了解原理之后,分析起来就容易多了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
