Loading DLL from memory

メモリからDLLを読み込んでみる 2020 年 1 月 22 日 @ry0kvn

About Me セキュリティキャンプ 2019 受講生 CODE BLUE2019 学生スタッフ Twitter@ry0kvn りょーくん

https://twitter.com/ry0kvn/status/1218966574293323777

メモリからDLLを読み込んでみる “DLL(dynamic link library) は通常、 Windows API の Loadlibrary 関数や
LoadlibraryEX 関数を使ってディスク上から読み込んで使用する。この LoadLibrary や LoadLibraryEx 関数は、ファイルシステム上のファイルでのみ機能し直接メモリから DLL をロードすることはできない。またこれを端的に実現できる公式の Windows API も存在しない。メモリから DLL を読み込むには疑似的な PE ローダーを実装する必要がある。 ”

DLLとは？ “A dynamic-link library (DLL) is a module that contains
functions and data that can be used by another module (application or DLL).” 引用 : Dynamic-Link Libraries (Dynamic-Link Libraries) - Win32 apps

なぜメモリから読み込む必要があるのか - Game developer 耐解析 - Malware developer 検出回避

PEファイルフォーマット “Portable Executable （ PE ）は、主に 32 ビットおよび 64 ビット版の
Microsoft Windows 上で使用される実行ファイル (EXE) 、オブジェクトファイル、 DLL 、 SYS ( デバイスドライバ ) 、 FON フォントファイル等のファイルフォーマットである。 PE フォーマットは実行コードを管理するために Windows OS ローダが必要とする情報をカプセル化するデータ構造である。 ” 引用 : https://ja.wikipedia.org/wiki/Portable_Executable

メモリへの展開 On Disk On Memory DOS Header NT Header ...
Section Header Section ... DOS Header NT Header Section Header ... Section ... そのまま配置ローダーによる調整

ベース再配置リンカが想定する理想のメモリ配置ロードされたイメージファイル 0x00400000 ローダが選択する現実のメモリ配置マップ済み 0x00400000
ロードされたイメージファイル 0x00800000

IATの解決前 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]
(INT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[] (IAT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] 0x1, AcquireSRWLockExclusive ... 0x65D, uaw_wcsrchr

IATの解決後 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]
(INT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[] (IAT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] 0x1, AcquireSRWLockExclusive ... 0x65D, uaw_wcsrchr 0x7ff9ba0e0000 ... 0x7ff9be539000

DLLの実行 using DLLEntry = BOOL(WINAPI*)(HINSTANCE dll, DWORD reason, LPVOID reserved);
DLLEntry DllEntry = (ntHeaders->OptionalHeader.AddressOfEntryPoint + dllBase); (*DllEntry)(dllBase, DLL_PROCESS_ATTACH, 0);

https://twitter.com/ry0kvn/status/1218928288107659264

Loading DLL from memory

Loading DLL from memory

ry0kvn

More Decks by ry0kvn

Featured

Transcript

メモリからDLLを読み込んでみる 2020 年 1 月 22 日 @ry0kvn

About Me セキュリティキャンプ 2019 受講生 CODE BLUE2019 学生スタッフ Twitter@ry0kvn りょーくん

https://twitter.com/ry0kvn/status/1218966574293323777

メモリからDLLを読み込んでみる “DLL(dynamic link library) は通常、 Windows API の Loadlibrary 関数や

DLLとは？ “A dynamic-link library (DLL) is a module that contains

なぜメモリから読み込む必要があるのか - Game developer 耐解析 - Malware developer 検出回避

PEファイルフォーマット “Portable Executable （ PE ）は、主に 32 ビットおよび 64 ビット版の

メモリへの展開 On Disk On Memory DOS Header NT Header ...

ベース再配置リンカが想定する理想のメモリ配置ロードされたイメージファイル 0x00400000 ローダが選択する現実のメモリ配置マップ済み 0x00400000

IATの解決前 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]

IATの解決後 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]

DLLの実行 using DLLEntry = BOOL(WINAPI*)(HINSTANCE dll, DWORD reason, LPVOID reserved);

demo

https://twitter.com/ry0kvn/status/1218928288107659264