针对于各大安全厂商对私有内存的监控,就是我们之前使用VirtualAlloc/EX来申请的内存,最后执行shellcode如下图是RWX的内存区域,里面是我们的shellcode。
由于各大安全厂商以及安全软件对分配私有内存有着高度监控,所以为了避免使用一些常见的API函数,比如VirtualAlloc/EX,VirtualProtect/Ex,映射注入使用Mapped内存类型,并使用不同的Win API函数,例如CreateFileMapping和MapViewOfFile。
需要注意的是VirtualProtect是无法更改更改映射内存的内存权限。
这里需要用到如下函数:
CreateFileMapping
经微软介绍CreateFileMapping函数可以创建或打开命名或未命名的文件映射对象,该对象通过内存映射技术对文件内容的访问,它允许进程创建虚拟内存空间,映射到磁盘上文件的内容或另一个内存位置。该函数返回文件映射对象的句柄。
HANDLE CreateFileMappingA(
[in] HANDLE hFile,
[in, optional] LPSECURITY_ATTRIBUTES lpFileMappingAttributes,
[in] DWORD flProtect,
[in] DWORD dwMaximumSizeHigh,
[in] DWORD dwMaximumSizeLow,
[in, optional] LPCSTR lpName
);
hFile 用于创建文件映射对象的文件的句柄,由于在实现中不需要从文件中创建文件映射因此可以使用INVALID_HANDLE_VALUE标志来代替,微软对INVALID_HANDLE_VALUE的解释是:
如果 hFile 为 INVALID_HANDLE_VALUE,则调⽤进程还必须在dwMaximumSizeHigh和dwMaximumSizeLow参数中指定映射对象的大小,在这种情况下CreateFileMappingA创建指定大小的文件映射对象。设置此标志允许函数在不使用磁盘中的文件的情况下执行任务,而是在内存中创建文件映射对象,大小由dwMaximumSizeHigh和dwMaximumSizeLow参数来决定的。
flProtect参数表示指定文件映射对象的权限,这里我们设置为PAGE_EXECUTE_READWRITE权限即可,这里并不会立即创建RWX的内存区域,而是稍后进行创建,我们如果设置PAGE_READWRITE的话,后续shellcode将无法执行。
MapViewOfFile函数会将文件映射的视图映射到调用进程的地址空间中,它获取文件映射对象的句柄和所需的访问权限,并返回指向进程地址空间中映射开头的指针。
LPVOID MapViewOfFile(
[in] HANDLE hFileMappingObject,
[in] DWORD dwDesiredAccess,
[in] DWORD dwFileOffsetHigh,
[in] DWORD dwFileOffsetLow,
[in] SIZE_T dwNumberOfBytesToMap
);
hFileMappingObject参数表示文件映射对象的句柄,也就是上面我们通过CreateFileMapping创建的文件映射,dwDesiredAccess参数表示文件映射的访问类型,这里我们将其设置为FILE_MAP_EXECUTE和FILE_MAP_WRITE标志来返回有效的可执行和可写的内存。
首先通过CreateFileMapping函数创建一个文件映射句柄。
这里的第一个参数我们上面说过了给他一个INVALID_HANDLE_VALUE标志,不需要从文件中创建文件映射,还有就是四个和第五个参数指定的就是映射对象的大小,这里我们第五个参数指定shellcode的大小即可,并且第三个参数我们需要指定PAGE_EXECUTE_READWRITE表示我们需要RWX的内存区域,但不是立即创建,而是稍后创建。
hFile = CreateFileMappingW(INVALID_HANDLE_VALUE, NULL, PAGE_EXECUTE_READWRITE, NULL, shellcodeSize, NULL);
创建完成文件映射之后,接下来需要来将文件映射的视图映射到进程的地址空间中。
这里第一个参数是我们上面通过CreateFileMapping函数拿到的文件映射的句柄,第二个参数就是我们上面说过的,需要将其设置为FILE_MAP_EXECUTE和FILE_MAP_WRITE标志,来返回有效的可执行和可写的内存,最后一个参数就是shellcode的大小。
pMapAddress = MapViewOfFile(hFile, FILE_MAP_WRITE | FILE_MAP_EXECUTE, NULL, NULL, shellcodeSize);
这前两步我们可以理解为VirtualAlloc这一类的函数。
创建完成之后,我们拿到了创建好内存的地址,然后通过memcpy将shellcode复制到创建好的内存地址中。
copy shellcode到内存。
最后我们通过回调函数去执行即可,当然你也可以使用创建线程的方式,或者指针的方式都可以。
EnumChildWindows(NULL, (WNDENUMPROC)Address, NULL);
但是我们提前得把这块内存的地址给他带出来。
*ppAddress = Address;
UnmapviewOfFile函数用于取消映射先前映射的内存,这个一般我们在执行完shellcode之后再去调用,而不是正在运行中,UnmapviewOfFile函数只需要取消映射的文件映射视图的基地址,也就是Address。
我们来一步一步来跟一下:
首先将文件映射的视图映射到调用进程的地址空间,然后copy shellcode。
copy shellcode。
最后通过回调函数执行。