SvcHost:进程文件svchost.dll知多少

来源:互联网  作者:本站整理
摘要:进程文件:svchost.dll 进程名称:Trojan.W32.Agent 英文描述:svchost.dllisamodulewhichisregisteredasatrojan.ThisTrojanallowsattackerstoaccessyour…

3. Svchost代码

现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数?

这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,可以看出svchost程序还是很简单的。

主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。

; ======================= Main Funcion =========================
  .text:010010B8 public start
  .text:010010B8 start proc near
  .text:010010B8 push esi
  .text:010010B9 push edi
  .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter
  .text:010010BF xor edi, edi
  .text:010010C1 call ds:SetUnhandledExceptionFilter
  .text:010010C7 push 1 ; uMode
  .text:010010C9 call ds:SetErrorMode
  .text:010010CF call ds:GetProcessHeap
  .text:010010D5 push eax
  .text:010010D6 call sub_1001142
  .text:010010DB mov eax, offset dword_1003018
  .text:010010E0 push offset unk_1003000 ; lpCriticalSection
  .text:010010E5 mov dword_100301C, eax
  .text:010010EA mov dword_1003018, eax
  .text:010010EF call ds:InitializeCriticalSection
  .text:010010F5 call ds:GetCommandLineW
  .text:010010FB push eax ; lpString
  .text:010010FC call ProcCommandLine
  .text:01001101 mov esi, eax
  .text:01001103 test esi, esi
  .text:01001105 jz short lab_doservice
  .text:01001107 push esi
  .text:01001108 call SvcHostOptions
  .text:0100110D call PrepareSvcTable
  .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned
  .text:01001114 test edi, edi
  .text:01001116 jz short loc_1001128
  .text:01001118 mov eax, [esi+10h]
  .text:0100111B test eax, eax
  .text:0100111D jz short loc_1001128
  .text:0100111F push dword ptr [esi+14h] ; dwCapabilities
  .text:01001122 push eax ; int
  .text:01001123 call InitializeSecurity
  .text:01001128
  .text:01001128 loc_1001128: ; CODE XREF: start+5Ej
  .text:01001128 ; start+65j
  .text:01001128 push esi ; lpMem
  .text:01001129 call HeapFreeMem
  .text:0100112E
  .text:0100112E lab_doservice: ; CODE XREF: start+4Dj
  .text:0100112E test edi, edi
  .text:01001130 jz ExitProgram
  .text:01001136 push edi ; lpServiceStartTable
  .text:01001137 call ds:StartServiceCtrlDispatcherW
  .text:0100113D jmp ExitProgram
  .text:0100113D start endp
  ; ======================= Main Funcion end ===========================

由于svchost为该组的所有服务都注册了svchost中的一个处理函数,因此每次启动任何一个服务时,服务管理器SCM都会调用FuncServiceMain() 这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL,调用DLL导出的ServiceMain()函数来启动服务,然后返回。

; ====================== FuncServiceMain() ===========================
  .text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o
  .text:01001504
  .text:01001504 arg_0 = dword ptr 8
  .text:01001504 arg_4 = dword ptr 0Ch
  .text:01001504
  .text:01001504 push ecx
  .text:01001505 mov eax, [esp+arg_4]
  .text:01001509 push ebx
  .text:0100150A push ebp
  .text:0100150B push esi
  .text:0100150C mov ebx, offset unk_1003000
  .text:01001511 push edi
  .text:01001512 mov edi, [eax]
  .text:01001514 push ebx
  .text:01001515 xor ebp, ebp
  .text:01001517 call ds:EnterCriticalSection
  .text:0100151D xor esi, esi
  .text:0100151F cmp dwGroupSize, esi
  .text:01001525 jbe short loc_1001566
  .text:01001527 and [esp+10h], esi
  .text:0100152B
  .text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj
  .text:0100152B mov eax, svcTable
  .text:01001530 mov ecx, [esp+10h]
  .text:01001534 push dword ptr [eax+ecx]
  .text:01001537 push edi
  .text:01001538 call ds:lstrcmpiW
  .text:0100153E test eax, eax
  .text:01001540 jz short StartThis
  .text:01001542 add dword ptr [esp+10h], 0Ch
  .text:01001547 inc esi
  .text:01001548 cmp esi, dwGroupSize
  .text:0100154E jb short loc_100152B
  .text:01001550 jmp short loc_1001566
  .text:01001552 ; =================================================
  .text:01001552
  .text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj
  .text:01001552 mov ecx, svcTable
  .text:01001558 lea eax, [esi+esi*2]
  .text:0100155B lea eax, [ecx+eax*4]
  .text:0100155E push eax
  .text:0100155F call GetDLLServiceMain
  .text:01001564 mov ebp, eax ; dll ServiceMain Function address
  .text:01001566
  .text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j
  .text:01001566 ; FuncServiceMain+4Cj
  .text:01001566 push ebx
  .text:01001567 call ds:LeaveCriticalSection
  .text:0100156D test ebp, ebp
  .text:0100156F jz short loc_100157B
  .text:01001571 push [esp+10h+arg_4]
  .text:01001575 push [esp+14h+arg_0]
  .text:01001579 call ebp
  .text:0100157B
  .text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj
  .text:0100157B pop edi
  .text:0100157C pop esi
  .text:0100157D pop ebp
  .text:0100157E pop ebx
  .text:0100157F pop ecx
  .text:01001580 retn 8
  .text:01001580 FuncServiceMain endp ; sp = -8
  ; ==================== FuncServiceMain() end ========================

由于svchost已经调用了StartServiceCtrlDispatcher来服务调度函数,因此我们在实现DLL实现时就不用了,这主要是因为一个进程只能调用一次StartServiceCtrlDispatcher API。但是需要用 RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们的DLL接收的都是unicode字符串。

由于这种服务启动后由svchost加载,不增加新的进程,只是svchost的一个DLL,而且一般进行审计时都不会去HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost 检查服务组是否变化,就算去检查,也不一定能发现异常,因此如果添加一个这样的DLL后门,伪装的好,是比较隐蔽的。

【相关文章】好搜一下
Visual Basic 集成开发环境的元素

Visual Basic 集成开发环境的元素

集成开发环境的元素Basic 的工作环境常常是指集成开发环境或 IDE,这是因为…