注入技术——修改输入表完成DLL注入

参考自《加密与解密》（第4版）第12章注入技术

实验环境：Windows XP SP2 家庭版
实验素材：作者提供的MsgDLL.dll。此处的待注入DLL使用消息弹框来证明自己注入成功，实际中可以进行各种可怕又邪恶的动作。
修改对象：系统自带记事本
修改目标：记事本启动后，自动加载MsgDLL.dll

DLL文件代码细节省略，通过使用MessageBox函数来显示消息框，仅此而已。关于dll文件的编写，也是日后要好好学习的点。dll文件也有自己的主函数，博主未编写用于攻击的dll（即使编写了也不敢公然发），故在此一笔带过了。

本文的重点是修改输入表，故我们需对输入表的功能和结构有一个清晰的认识。

输入表，也称导入表，保存着PE文件载入时，一并加载的函数名和其驻留的DLL名等动态链接所需的信息。不想把各位朋友用理论烦走了，所以自己妄自总结一句话：就是指明PE文件执行时所使用的各个函数，这个过程中有对dll文件的装入，也有对每个dll文件中的函数进行实际定位最后写入函数名或序号与虚拟地址的映射关系表IAT。可以这么说，没有输入表，PE文件执行时就会像个无头苍蝇，更别提我们以后的加壳等练习了。

输入表的结构简称为IID，一个输入表就是一个数组，结构如下：

typedef struct _IMAGE_IMPORT_DESCRIPTOR {  
    _ANONYMOUS_UNION union {              //00h  
        DWORD Characteristics;  
        DWORD OriginalFirstThunk;   
    } DUMMYUNIONNAME;  
    DWORD TimeDateStamp;                  //04h  
    DWORD ForwarderChain;                 //08h  
    DWORD Name;                           //0Ch  
    DWORD FirstThunk;                     //10h  
} IMAGE_IMPORT_DESCRIPTOR,*PIMAGE_IMPORT_DESCRIPTOR;

这里修改输入表，因为考虑增加的dll会增大导入表，进而可能将与之关联的OriginalFirstThunk和FirstThunk覆盖，故不如将其整体迁移到新的地址，最后修改一下导入表的地址就可以了。

新辟一块领土作为导入表，首先当然想找一个因为对齐带来的空洞，但往往我们很少有这样的机会。因此退而求其次，扩展最后一个节，或者增加一个节。本文使用了前者进行实现。

关于记事本，作为宿主，我们必须对其进行分析。首先我们看一下区段信息：

注入技术——修改输入表完成DLL注入

因为要满足两个条件，意识VirtualSize小雨RawSize，然后空洞大小要大于0xDC。这个数值是对上方输入表的结构研究后，newIIDSize=OldSize+sizeof(输入表)。如此我们就验证了前面说的，得到一个装得下新输入表的空洞，是很困难的。这里我们记录两个数值，用来扩展最后一个区段使用：