メモリからDLLを読み込んでみる
2020 年 1 月 22 日
@ry0kvn
About Me
セキュリティキャンプ2019受講生
CODE BLUE2019 学生スタッフ
Twitter@ry0kvn
りょーくん
https://twitter.com/ry0kvn/status/1218966574293323777
メモリからDLLを読み込んでみる
“DLL(dynamic link library)は通常、Windows APIのLoadlibrary関数やLoadlibraryEX
関数を使ってディスク上から読み込んで使用する。
このLoadLibraryやLoadLibraryEx関数は、ファイルシステム上のファイルでのみ機能し
直接メモリからDLLをロードすることはできない。
またこれを端的に実現できる公式のWindows APIも存在しない。 メモリからDLLを読み
込むには疑似的なPEローダーを実装する必要がある。”
DLLとは?
“A dynamic-link library (DLL) is a module that contains functions and data that can be
used by another module (application or DLL).”
引用 : Dynamic-Link Libraries (Dynamic-Link Libraries) - Win32 apps
なぜメモリから読み込む必要があるのか
- Game developer
耐解析
- Malware developer
検出回避
PEファイルフォーマット
“Portable Executable(PE)は、主に32ビットおよび64ビット版のMicrosoft Windows上で
使用される実行ファイル (EXE)、オブジェクトファイル、DLL、SYS (デバイスドライバ)、
FON フォントファイル等のファイルフォーマットである。PEフォーマットは実行コードを管
理するためにWindows OSローダが必要とする情報をカプセル化するデータ構造であ
る。”
引用 : https://ja.wikipedia.org/wiki/Portable_Executable
メモリへの展開
On Disk
On Memory
DOS Header
NT Header
...
Section Header
Section
...
DOS Header
NT Header
Section Header
...
Section
...
そのまま配置
ローダーによる調整
ベース再配置
リンカが想定する
理想のメモリ配置
ロードされた
イメージファイル
0x00400000
ローダが選択する
現実のメモリ配置
マップ済み
0x00400000
ロードされた
イメージファイル
0x00800000
IATの解決前
IMAGE_IMPORT_DESCRIPTOR
OriginalFirstThunk
TimeDateStamp
ForwarderChain
Name
FirstThunk
kernel32.dll
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(INT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(IAT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
0x1, AcquireSRWLockExclusive
...
0x65D, uaw_wcsrchr
IATの解決後
IMAGE_IMPORT_DESCRIPTOR
OriginalFirstThunk
TimeDateStamp
ForwarderChain
Name
FirstThunk
kernel32.dll
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(INT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
IMAGE_THUNK_DATA[0]
IMAGE_THUNK_DATA[]
(IAT)
IMAGE_THUNK_DATA[...]
IMAGE_THUNK_DATA[N]
0x1, AcquireSRWLockExclusive
...
0x65D, uaw_wcsrchr
0x7ff9ba0e0000
...
0x7ff9be539000
DLLの実行
using DLLEntry = BOOL(WINAPI*)(HINSTANCE dll, DWORD reason, LPVOID
reserved);
DLLEntry DllEntry = (ntHeaders->OptionalHeader.AddressOfEntryPoint +
dllBase);
(*DllEntry)(dllBase, DLL_PROCESS_ATTACH, 0);
demo
https://twitter.com/ry0kvn/status/1218928288107659264

Loading dl lfrommemory