木马编程DIY第10篇之网络进程监视

最新推荐文章于 2024-07-23 17:12:02 发布
最新推荐文章于 2024-07-23 17:12:02 发布
阅读量930 收藏
点赞数 1
文章标签: 网络 编程 tcp winapi 扩展 struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/annhf/article/details/3636293
版权
进程管理程序大家都不陌生,通过CreateToolhelp32Snapshot/Process32First/Process32Next系列函数或者PSAPI库不难探出
其中的信息,但对进程是否有网络操作,监听的端口,远程地址,远程端口却力不从心了。然而这种监视对于分析某些恶意软
又十分必要,所以我们的目标就是打操,具有网络监视功能的最终梦幻版本。实现效果如图1所示。


实现方法


NETSTAT -A -N 这条命令可以打印出本地的TCP和UDP连接信息,在06年的杂志上古开元在《解析网络执法官》系列文章中实现
了NETSTAT的功能,方法是使用GetTcpTable和GetUdpTable两个函数得到信息列表,但它却无法实现连接信息与进程的对照,
所以我们还要找其它方法。不能用你还说,给你一顿暴K,当然我也没是没事找刺激,因为在它的基础上MS提供了住处另外的
函数可以达到我们的目得。他们是AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack,与
GetTcpTable和GetUdpTable相比,扩展函数包含了正在使用当前连接进程的ID号,有了进程ID我们就可以做事了。



版本要求

在开始之前还有些事情要做,请确认一下自己操作系统的版本,因为扩展函数是在WINDOWS XP 和更高版本中所提供的
IP帮助函数,而在WINDOWS2000中是无法使用的。不过如果你的WIN2000上安装了VS2003或VS20005那么就可以使用了(包括编写和运行)。
此扩展函数的原形定义在Iphipapi.h文件中,在使用时,必须链接到Iphlpapi.lib库。





函数原型和结构

因为函数所需的结构是没有公开的,使用时要自己定义。我们从函数本身开始介绍
AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack函数在使用时要用iphlpapi.dll中
动态获取扩展函数的入口地址,其示例代码如下:
复制内容到剪贴板
代码:
        HMODULE hModule = ::LoadLibrary("iphlpapi.dll");
        //获取TCP列表
        pAllocateAndGetTcpExTableFromStack =
                        (PFNAllocateAndGetTcpExTableFromStack)::GetProcAddress(hModule,
                                                                        "AllocateAndGetTcpExTableFromStack");
        //获取UDP列表
        pAllocateAndGetUdpExTableFromStack =
                        (PFNAllocateAndGetUdpExTableFromStack)::GetProcAddress(hModule,
                                                                        "AllocateAndGetUdpExTableFromStack");
        其中pAllocateAndGetTcpExTableFromStack 和pAllocateAndGetUdpExTableFromStack 是扩展函数指针如下
       
        PFNAllocateAndGetTcpExTableFromStack pAllocateAndGetTcpExTableFromStack;
        PFNAllocateAndGetUdpExTableFromStack pAllocateAndGetUdpExTableFromStack;
        而PFNAllocateAndGetTcpExTableFromStack和PFNAllocateAndGetUdpExTableFromStack则是
        由我们自己定义扩展函数原型代码如下:
       
        typedef DWORD (WINAPI *PFNAllocateAndGetTcpExTableFromStack)(
          PMIB_TCPEXTABLE *pTcpTable,
          BOOL bOrder,            
          HANDLE heap,
          DWORD zero,
          DWORD flags
        );

        typedef DWORD (WINAPI *PFNAllocateAndGetUdpExTableFromStack)(
          PMIB_UDPEXTABLE *pUdpTable,  
          BOOL bOrder,              
          HANDLE heap,
          DWORD zero,
          DWORD flags
        );
在成功得到函数入口后就可以获取TCP/UDP进程和网络信息列表了其代码如下
复制内容到剪贴板
代码:
        PMIB_TCPEXTABLE pTcpExTable;
        PMIB_UDPEXTABLE pUdpExTable;

        if(pAllocateAndGetTcpExTableFromStack(&pTcpExTable, TRUE, GetProcessHeap(), 2, 2) != 0)
        {
                        MessageBox(" TCP列表失败/n");
        }
        if(pAllocateAndGetUdpExTableFromStack(&pUdpExTable, TRUE, GetProcessHeap(), 2, 2) != 0)
        {
                        MessageBox(" UPD列表失败/n");
        }
其中        PMIB_TCPEXTABLE和PMIB_UDPEXTABLE是自己定义的结构,用来接受列表信息,它们的原形如下
复制内容到剪贴板
代码:
        typedef struct
        {
          DWORD   dwState;                // 连接状态
          DWORD   dwLocalAddr;            // 本地地址
          DWORD   dwLocalPort;            // 本地端口
          DWORD   dwRemoteAddr;           // 远程地址
          DWORD   dwRemotePort;           // 远程端口
          DWORD          dwProcessId;                // 进程ID号
        } MIB_TCPEXROW, *PMIB_TCPEXROW;

        typedef struct
        {
                DWORD                        dwNumEntries;
                MIB_TCPEXROW        table[ANY_SIZE];
        } MIB_TCPEXTABLE, *PMIB_TCPEXTABLE;

        typedef struct
        {
          DWORD   dwLocalAddr;            // 本地地址
          DWORD   dwLocalPort;            // 本地端口
          DWORD          dwProcessId;                // 进程ID号
        } MIB_UDPEXROW, *PMIB_UDPEXROW;

        typedef struct
        {
                DWORD                        dwNumEntries;
                MIB_UDPEXROW        table[ANY_SIZE];
        } MIB_UDPEXTABLE, *PMIB_UDPEXTABLE;
上面的结构信息的说明十分详细,也是程序的核心,这样子我们就可以得进程的ID和其它信息了,下面我再 讨论其具体实现.



细节实现


跟据上文所返回的结构我们可以从中提取需要的信息,包括本地/远程IP,端口状态,进程名称,进程路径等等

各个信息定义如下
复制内容到剪贴板
代码:
        char        szLocalAddr[128];
        char        szRemoteAddr[128];
        char        szProcessName[128];
        in_addr inadLocal;
        in_addr        inadRemote;
        char    strState[128];
        DWORD   dwRemotePort = 0;       
本地IP地址
复制内容到剪贴板
代码:
        inadLocal.s_addr = pTcpExTable->table[i].dwLocalAddr;
远程端口
复制内容到剪贴板
代码:
        if(strcmp(strState, "LISTEN") != 0)
        {
                dwRemotePort = pTcpExTable->table[i].dwRemotePort;
        }
        else
                dwRemotePort = 0;
远程IP地址
复制内容到剪贴板
代码:
        inadRemote.s_addr = pTcpExTable->table[i].dwRemoteAddr;
格式化地址+端口
复制内容到剪贴板
代码:
        sprintf(szLocalAddr, "%s:%u", inet_ntoa(inadLocal),
                        ntohs((unsigned short)(0x0000FFFF & pTcpExTable->table[i].dwLocalPort)));
        sprintf(szRemoteAddr, "%s:%u", inet_ntoa(inadRemote),
                        ntohs((unsigned short)(0x0000FFFF & dwRemotePort)));
连接状态
复制内容到剪贴板
代码:
        switch (pTcpExTable->table[i].dwState)
        {
        case MIB_TCP_STATE_CLOSED:
                strcpy(strState, "CLOSED");
                break;
        case MIB_TCP_STATE_TIME_WAIT:
                strcpy(strState, "TIME_WAIT");
                break;
        case MIB_TCP_STATE_LAST_ACK:
                strcpy(strState, "LAST_ACK");
                break;
        case MIB_TCP_STATE_CLOSING:
                strcpy(strState, "CLOSING");
                break;
        case MIB_TCP_STATE_CLOSE_WAIT:
                strcpy(strState, "CLOSE_WAIT");
                break;
        case MIB_TCP_STATE_FIN_WAIT1:
                strcpy(strState, "FIN_WAIT1");
                break;
        case MIB_TCP_STATE_ESTAB:
                strcpy(strState, "ESTAB");
                break;
        case MIB_TCP_STATE_SYN_RCVD:
                strcpy(strState, "SYN_RCVD");
                break;
        case MIB_TCP_STATE_SYN_SENT:
                strcpy(strState, "SYN_SENT");
                break;
        case MIB_TCP_STATE_LISTEN:
                strcpy(strState, "LISTEN");
                break;
        case MIB_TCP_STATE_DELETE_TCB:
                strcpy(strState, "DELETE");
                break;
        default:
                printf("Error: unknown state!/n");
                break;
        }
进程名称/路径
复制内容到剪贴板
代码:
        hProcess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,false,pTcpExTable->table[i].dwProcessId);
        EnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);                        //枚举进程模块
        GetModuleFileNameEx(hProcess, hModule, Path, sizeof(Path));                                //得到进程路径
        GetModuleBaseName  (hProcess, hModule, Name, sizeof(Name));                                //得到进程名称
   

        在上的实现都应该在以下的循环内进行

        for(UINT i = 0; i < pTcpExTable->dwNumEntries; ++i)
        {
                .........//实现代码
        }
UDP的进程信息


与TCP进程相比UDP是无连接的协议,所以它只有本地IP/端口/进程ID三项,比TCP简单很多,实现上也相差无几,在里就不
再详细说明了,详细实现可以看原代码。


这样整个程序就完工了,因为关注重点是对网络进程的监视,所没有添加结束进程,或查看进程模快的部分,不过有兴趣
的话可以自己进行扩展,来打操真正的梦幻版本。本文参考了张越著的《VC网络程序设计》中的实例,如果有问题可以到
客黑防线的论坛或我的BLOG Http://blog.csdn.net/chinafe上讨论不论是鼓励还是暴K我都很高兴......。
annhf
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于端口和进程的映射
天使的薄荷
07-26 2709
    网上的那些所谓的谈端口和进程映射的例子都不能使用,后来买了这本书,找到了好用的例子。真不明白那些人为什么要把没有用的了例子放到网上去恶心人,自己连试也不试就放到了网上,真的很让人恶心。    这个例子是《visusl c++网络程序设计实例详解》(人民邮电)第七章里面的最后一个例子,很好用,所以放到网上来和大家分享一下。    使用下面的代码的前提是要安装windows2003的Platf
PID和端口关系映射学习
spiderlily的专栏
12-09 1253
程序功能是获取系统进程ID和TCP/UDP端口的映射关系,利用的是AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack函数,这两个函数在WIN7之后已经不适用了,虽然有些过时,但对我这种菜鸟学习基础来说还是很有帮助的。         PS:如果想获取进程名与端口的映射关系要麻烦些,需要自己写个函数,通过进程枚举,
【QQ用户必备】聊天时如何避开木马攻击
u012789898的专栏
11-12 678
QQ的密码、个人资料和聊天记录能否安全成为至关重要的问题,为了有效地防止聊天记录等本地信息的丢失和被窃可以采取以下措施: 1.设置本地消息口令   首先按下鼠标右键,从QQ图标上选择“系统参数”,在“系统参数”中选择“安全设置”标签。接着选择“启用本地消息加密”,再依次输入口令并确认口令即可。   同时为了保险一定要勾选“启用本地消息加密口令提示”,设定提示问题和问题答案,按下“确定”使设
VC++实现遍历所有进程TCP与UDP链接
weixin_30908707的博客
09-04 201
VC++实现遍历所有进程TCP与UDP链接代码如下,请见注释讲解#include <stdio.h> #include <windows.h> #include <Iphlpapi.h> #include <tlhelp32.h> #pragma comment(lib, "Iphlpapi.lib") #pragma comment(lib...
用C#实现木马程序[转]
08-05 1071
  木马的介绍  因为本文是探讨木马程序,所以在介绍之前有一些木马构成的基本知识事先说明。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。这里主要对软件部分介绍,它主要有控制端程序、木马程序(后台服务程序)、木马配制程序组成。控制端用以远程控制服务端的程序;木马程序是潜入服务端内部,获取其操作权限的程序;木马配制程序是设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏的更隐蔽的程
windows7不支持AllocateAndGetTcpExTableFromStack
十年磨一剑,霜刃未曾试!
11-18 5953
<br />今天发现iphlpapi.dll 在windows7下已经放弃支持AllocateAndGetTcpExTableFromStack,AllocateAndGetUdpExTableFromStack<br />没用办法只能重新修改程序进行重新编译<br />只能改用 GetExtendedTcpTable 。<br />具体参考:<br />http://msdn.microsoft.com/en-us/library/aa365928(VS.85).aspx
VC++实现检测网络状态所有的TCP与UDP通信
weixin_30823001的博客
11-14 234
UDP 是User Datagram Protocol的简称, 中文名是用户数据报协议,是 OSI 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETF RFC 768是UDP的正式规范。介  UDP协议的全称是用户数据包协议,在网络中它与TCP协议一样用于处理   UDP数据包,是一种无连接的协议。在OSI模型中,在第四层——传输层,处于IP协议的上一层。UDP...
win7 xp vista 下获取进程对应的ip地址和端口信息
脚踏实地,不断突破自我,每天有收获就OK
12-24 3082
// NetStat_Src.cpp : 定义控制台应用程序的入口点。 #include &lt;stdio.h&gt; #include &lt;tchar.h&gt; #include &lt;windows.h&gt; #include &lt;Tlhelp32.h&gt; #include &lt;winsock.h&gt; //#include &lt;winsock2.h&gt; #i...
穿过网络防火墙监视木马下载器(转)
cuankuangzhong6373的博客
03-14 440
7月5日:今日提醒用户特别注意以下病毒:“下载器变种jk”(Win32.Troj.Downloader.jk)和“小魔女变种aa”(Win32.Hack.LittleWitch.aa)。   “下载器变种jk”(Win32.Tr...
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 424
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 403
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
docker build时的网络问题
flynetcn的专栏
07-19 354
docker build网络问题
【ROS2】演示:为有损网络使用服务质量设置
cxyhjl的博客
07-22 541
目录背景先决条件运行演示命令行选项添加网络流量背景请阅读有关 QoS 设置的文档页面,以获取有关 ROS 2 中可用支持的背景信息。在这个演示中,我们将生成一个发布相机图像的节点和另一个订阅图像并在屏幕上显示图像的节点。然后,我们将模拟它们之间的丢包网络连接,并展示不同的服务质量设置如何处理不良链接。先决条件本教程假设您已安装并运行 ROS 2 和 OpenCV。有关安装说明,请...
安徽京准:NTP网络时间服务器的几种应用场景
NTP授时服务器
07-19 221
安徽京准:NTP网络时间服务器的几种应用场景
网络编程套接字socket
安权_code的博客
07-23 506
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
DNS域名管理系统、搭建DNS服务
最新发布
十四的博客
07-23 538
DNS概述。
网络编程木马程序设计
10-12
网络编程中的木马程序是一种恶意软件,用于在目标计算机上执行未经授权的操作。下面是一个简单的网络编程木马程序示例,用于远程控制目标计算机: ```python import socket # 攻击者IP和端口 attacker_ip = '192....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值