基本介紹
- 中文名:DLL木馬
- 解釋:編譯好的代碼
- 特點:不能獨立運行,需要程式調用
- 詳細:見下文
木馬揭秘,技術說起,靜態連結技術,應用程式接口,運行特點,技術分析,木馬的主體,動態嵌入技術,木馬的啟動,其它,發現和查殺,
木馬揭秘
技術說起
要了解DLL木馬,就必須知道這個“DLL”是什麼意思,所以,讓我們追溯到幾年前,DOS系統大行其道的日子裡。在那時候,寫程式是一件繁瑣的事情,因為每個程式的代碼都是獨立的,有時候為了實現一個功能,就要為此寫很多代碼,後來隨著編程技術發展,程式設計師們把很多常用的代碼集合(通用代碼)放進一個獨立的檔案里,並把這個檔案稱為“庫”(Library),在寫程式的時候,把這個庫檔案加入編譯器,就能使用這個庫包含的所有功能,而不必自己再去寫一大堆代碼,這個技術被稱為“靜態連結”(Static Link)。靜態連結技術讓勞累的程式設計師鬆了口氣,一切似乎都很美好。可是事實證明,美好的事物不會存在太久,因為靜態連結就像一個粗魯的推銷員,不管你想不想要宣傳單,他都全部塞到你的手上來。寫一個程式只想用到一個庫檔案包含的某個圖形效果,就因為這個,你不得不把這個庫檔案攜帶的所有的圖形效果都加入程式,留著它們當花瓶擺設,這倒沒什麼重要,可是這些花瓶卻把道路都阻塞了——靜態連結技術讓最終的程式成了大塊頭,因為編譯器把整個庫檔案也算進去了。
靜態連結技術
時代在發展,靜態連結技術由於天生的弊端,不能滿足程式設計師的願望,人們開始尋找一種更好的方法來解決代碼重複的難題。後來,Windows系統出現了,時代的分水嶺終於出現。Windows系統使用一種新的連結技術,這種被稱為“動態連結”(Dynamic Link)的新技術同樣也是使用庫檔案,微軟稱它們為“動態程式庫”——Dynamic Link Library,DLL的名字就是這樣來的。動態連結本身和靜態連結沒什麼區別,也是把通用代碼寫進一些獨立檔案里,但是在編譯方面,微軟繞了個圈子,並沒有採取把庫檔案加進程式的方法,而是把庫檔案做成已經編譯好的程式檔案,給它們開個交換數據的接口,程式設計師寫程式的時候,一旦要使用某個庫檔案的一個功能函式,系統就把這個庫檔案調入記憶體,連線上這個程式占有的任務進程,然後執行程式要用的功能函式,並把結果返回給程式顯示出來,在我們看來,就像是程式自己帶有的功能一樣。完成需要的功能後,這個DLL停止運行,整個調用過程結束。微軟讓這些庫檔案能被多個程式調用,實現了比較完美的共享,程式設計師無論要寫什麼程式,只要在代碼里加入對相關DLL的調用聲明就能使用它的全部功能。最重要的是,DLL絕對不會讓你多拿一個花瓶,你要什麼它就給你什麼,你不要的東西它才不會給你。這樣,寫出來的程式就不能再攜帶一大堆垃圾了——絕對不會讓你把吃剩的東西帶回家,否則罰款,這是自助餐。
應用程式接口
上面我們對DLL技術做了個大概分析,在裡面我提到了“接口”,這又是什麼呢?因為DLL不能像靜態庫檔案那樣塞進程式里,所以,如何讓程式知道實現功能的代碼和檔案成了問題,微軟就為DLL技術做了標準規範,讓一個DLL檔案像乳酪一樣開了許多小洞,每個洞口都註明裡面存放的功能的名字,程式只要根據標準規範找到相關洞口就可以取得它要的美味了,這個洞口就是“應用程式接口”(Application Programming Interface),每個DLL帶的接口都不相同,盡最大可能的減少了代碼的重複。用Steven的一句話:API就是一個工具箱,你根據需要取出螺絲刀、扳手,用完後再把它們放回原處。在Windows里,最基本的3個DLL檔案是kernel32.dll、user32.dll、gdi32.dll。它們共同構成了基本的系統框架。
運行特點
DLL是編譯好的代碼,與一般程式沒什麼大差別,只是它不能獨立運行,需要程式調用。那么,DLL與木馬能扯上什麼關係呢?如果你學過編程並且寫過DLL,就會發現,其實DLL的代碼和其他程式幾乎沒什麼兩樣,僅僅是接口和啟動模式不同,只要改動一下代碼入口,DLL就變成一個獨立的程式了。當然,DLL檔案是沒有程式邏輯的,這裡並不是說DLL=EXE,不過,依然可以把DLL看做缺少了main入口的EXE,DLL帶的各個功能函式可以看作一個程式的幾個函式模組。DLL木馬就是把一個實現了木馬功能的代碼,加上一些特殊代碼寫成DLL檔案,導出相關的API,在別人看來,這只是一個普通的DLL,但是這個DLL卻攜帶了完整的木馬功能,這就是DLL木馬的概念。也許有人會問,既然同樣的代碼就可以實現木馬功能,那么直接做程式就可以,為什麼還要多此一舉寫成DLL呢?這是為了隱藏,因為DLL運行時是直接掛在調用它的程式的進程里的,並不會另外產生進程,所以相對於傳統EXE木馬來說,它很難被查到。
雖然DLL不能自己運行,可是Windows在載入DLL的時候,需要一個入口函式,就如同EXE的main一樣,否則系統無法引用DLL。所以根據編寫規範,Windows必須查找並執行DLL里的一個函式DllMain作為載入DLL的依據,這個函式不作為API導出,而是內部函式。DllMain函式使DLL得以保留在記憶體里,有的DLL裡面沒有DllMain函式,可是依然能使用,這是因為Windows在找不到DllMain的時候,會從其它運行庫中找一個不做任何操作的預設DllMain函式啟動這個DLL使它能被載入,並不是說DLL可以放棄DllMain函式。
技術分析
到了這裡,您也許會想,既然DLL木馬有那么多好處,以後寫木馬都採用DLL方式不就好了嗎?話雖然是這么說沒錯,但是DLL木馬並不是一些人想像的那么容易寫的。要寫一個能用的DLL木馬,你需要了解更多知識。
木馬的主體
動態嵌入技術
Windows中,每個進程都有自己的私有記憶體空間,別的進程是不允許對這個私人領地進行操作的,但是,實際上我們仍然可以利用種種方法進入並操作進程的私有記憶體,這就是動態嵌入,它是將自己的代碼嵌入正在運行的進程中的技術。動態嵌入有很多種,最常見的是鉤子、API以及遠程執行緒技術,現在的大多數DLL木馬都採用遠程執行緒技術把自己掛在一個正常系統進程中。其實動態嵌入並不少見,羅技的MouseWare驅動就掛著每一個系統進程。
遠程執行緒技術就是通過在另一個進程中創建遠程執行緒(RemoteThread)的方法進入那個進程的記憶體地址空間。在DLL木馬的範疇里,這個技術也叫做“注入”,當載體在那個被注入的進程里創建了遠程執行緒並命令它載入DLL時,木馬就掛上去執行了,沒有新進程產生,要想讓木馬停止惟有讓掛接這個木馬DLL的進程退出運行。但是,很多時候我們只能束手無策——它和Explorer.exe掛在一起了,你確定要關閉Windows嗎?
木馬的啟動
有人也許會迫不及待的說,直接把這個DLL加入系統啟動項目不就可以了。答案是NO,前面說過,DLL不能獨立運行,所以無法在啟動項目里直接啟動它。要想讓木馬跑起來,就需要一個EXE使用動態嵌入技術讓DLL搭上其他正常進程的車,讓被嵌入的進程調用這個DLL的DllMain函式,激發木馬運行,最後啟動木馬的EXE結束運行,木馬啟動完畢。
啟動DLL木馬的EXE是個重要角色,它被稱為Loader,如果沒有Loader,DLL木馬就是破爛一堆,因此,一個算得上成熟的DLL木馬會想辦法保護它的Loader不會那么容易被毀滅。記得狼狽為奸的故事嗎?DLL木馬就是爬在狼Loader上的狽。
Loader可以是多種多樣的,Windows的rundll32.exe也被一些DLL木馬用來做了Loader,這種木馬一般不帶動態嵌入技術,它直接掛著rundll32進程運行,用rundll32的方法(rundll32.exe [DLL名],[函式] [參數])像調用API一樣去引用這個DLL的啟動函式激發木馬模組開始執行,即使你殺了rundll32,木馬本體還是在的,一個最常見的例子就是3721中文實名,雖然它不是木馬。
註冊表的AppInit_DLLs鍵也被一些木馬用來啟動自己,如求職信病毒。利用註冊表啟動,就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的,對這個DLL的穩定性有很大要求,稍有錯誤就會導致系統崩潰,所以很少看到這種木馬。
有一些更複雜點的DLL木馬通過svchost.exe啟動,這種DLL木馬必須寫成NT-Service,入口函式是ServiceMain,一般很少見,但是這種木馬的隱蔽性也不錯,而且Loader有保障。
