Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Loading DLL from memory

Avatar for ry0kvn ry0kvn
January 22, 2020
0
110

Loading DLL from memory

Avatar for ry0kvn

ry0kvn

January 22, 2020
Tweet

More Decks by ry0kvn

See All by ry0kvn
Code Injection詰め合わせ
Avatar for ry0kvn ry0kvn
0
28
Process Hollowing
Avatar for ry0kvn ry0kvn
0
2.5k

Featured

See All Featured
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
130
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
231
22k
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.1k
It's Worth the Effort
Avatar for 3n 3n
188
29k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
32k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
Tips & Tricks on How to Get Your First Job In Tech
Avatar for Honza Javorek honzajavorek
0
430
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
300
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.8k
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
2
250
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k

Transcript

  1. メモリからDLLを読み込んでみる 2020 年 1 月 22 日 @ry0kvn

  2. About Me セキュリティキャンプ 2019 受講生 CODE BLUE2019 学生スタッフ Twitter@ry0kvn りょーくん

  3. https://twitter.com/ry0kvn/status/1218966574293323777

  4. メモリからDLLを読み込んでみる “DLL(dynamic link library) は通常、 Windows API の Loadlibrary 関数や

    LoadlibraryEX 関数を使ってディスク上から読み込んで使用する。 この LoadLibrary や LoadLibraryEx 関数は、ファイルシステム上のファイルでのみ機能し 直接メモリから DLL をロードすることはできない。 またこれを端的に実現できる公式の Windows API も存在しない。 メモリから DLL を読み 込むには疑似的な PE ローダーを実装する必要がある。 ”

  5. DLLとは? “A dynamic-link library (DLL) is a module that contains

    functions and data that can be used by another module (application or DLL).” 引用 : Dynamic-Link Libraries (Dynamic-Link Libraries) - Win32 apps

  6. なぜメモリから読み込む必要があるのか - Game developer 耐解析 - Malware developer 検出回避

  7. PEファイルフォーマット “Portable Executable ( PE )は、主に 32 ビットおよび 64 ビット版の

    Microsoft Windows 上で 使用される実行ファイル (EXE) 、オブジェクトファイル、 DLL 、 SYS ( デバイスドライバ ) 、 FON フォントファイル等のファイルフォーマットである。 PE フォーマットは実行コードを管 理するために Windows OS ローダが必要とする情報をカプセル化するデータ構造であ る。 ” 引用 : https://ja.wikipedia.org/wiki/Portable_Executable
  8. None
  9. None

  10. メモリへの展開 On Disk On Memory DOS Header NT Header ...

    Section Header Section ... DOS Header NT Header Section Header ... Section ... そのまま配置 ローダーによる調整

  11. ベース再配置 リンカが想定する 理想のメモリ配置 ロードされた イメージファイル 0x00400000 ローダが選択する 現実のメモリ配置 マップ済み 0x00400000

    ロードされた イメージファイル 0x00800000

  12. IATの解決前 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]

    (INT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[] (IAT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] 0x1, AcquireSRWLockExclusive ... 0x65D, uaw_wcsrchr

  13. IATの解決後 IMAGE_IMPORT_DESCRIPTOR OriginalFirstThunk TimeDateStamp ForwarderChain Name FirstThunk kernel32.dll IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[]

    (INT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] IMAGE_THUNK_DATA[0] IMAGE_THUNK_DATA[] (IAT) IMAGE_THUNK_DATA[...] IMAGE_THUNK_DATA[N] 0x1, AcquireSRWLockExclusive ... 0x65D, uaw_wcsrchr 0x7ff9ba0e0000 ... 0x7ff9be539000

  14. DLLの実行 using DLLEntry = BOOL(WINAPI*)(HINSTANCE dll, DWORD reason, LPVOID reserved);

    DLLEntry DllEntry = (ntHeaders->OptionalHeader.AddressOfEntryPoint + dllBase); (*DllEntry)(dllBase, DLL_PROCESS_ATTACH, 0);

  15. demo

  16. https://twitter.com/ry0kvn/status/1218928288107659264