VC++动态链接库编程之DLL木马
来源:互联网 发布:网络安全管理平台 编辑:程序博客网 时间:2024/09/21 09:17
从前文可知,DLL在程序编制中可作出巨大贡献,它提供了具共性代码的复用能力。但是,正如一门高深的武学,若被掌握在正义之侠的手上,便可助其仗义江湖;但若被掌握在邪恶之徒的手上,则必然在江湖上掀起腥风血雨。DLL正是一种这样的武学。DLL一旦染上了魔性,就不再是正常的DLL程序,而是DLL木马,一种恶贯满盈的病毒,令特洛伊一夜之间国破家亡。
DLL木马的原理
DLL木马的实现原理是编程者在DLL中包含木马程序代码,随后在目标主机中选择特定目标进程,以某种方式强行指定该进程调用包含木马程序的DLL,最终达到侵袭目标系统的目的。
正是DLL程序自身的特点决定了以这种形式加载木马不仅可行,而且具有良好的隐藏性:
(1)DLL程序被映射到宿主进程的地址空间中,它能够共享宿主进程的资源,并根据宿主进程在目标主机的级别非法访问相应的系统资源;
(2)DLL程序没有独立的进程地址空间,从而可以避免在目标主机中留下"蛛丝马迹",达到隐蔽自身的目的。
DLL木马实现了"真隐藏",我们在任务管理器中看不到木马"进程",它完全溶进了系统的内核。与"真隐藏"对应的是"假隐藏","假隐藏"木马把自己注册成为一个服务。虽然在任务管理器中也看不到这个进程,但是"假隐藏"木马本质上还具备独立的进程空间。"假隐藏"只适用于Windows9x的系统,对于基于WINNT的操作系统,通过服务管理器,我们可以发现系统中注册过的服务。
DLL木马注入其它进程的方法为远程线程插入。
远程线程插入技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL,从而实现木马对系统的侵害。
DLL木马注入程序
这里涉及到一个非常重要的Windows API――CreateRemoteThread。与之相比,我们所习惯使用的CreateThread API函数只能在进程自身内部产生一个新的线程,而且被创建的新线程与主线程共享地址空间和其他资源。而CreateRemoteThread则不同,它可以在另外的进程中产生线程!CreateRemoteThread有如下特点:
(1)CreateRemoteThread较CreateThread多一个参数hProcess,该参数用于指定要创建线程的远程进程,其函数原型为:
HANDLE hProcess, //远程进程句柄
LPSECURITY_ATTRIBUTES lpThreadAttributes,
SIZE_T dwStackSize,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
DWORD dwCreationFlags,
LPDWORD lpThreadId
);
(2)线程函数的代码不能位于我们用来注入DLL木马的进程所在的地址空间中。也就是说,我们不能想当然地自己写一个函数,并把这个函数作为远程线程的入口函数;
(3)不能把本进程的指针作为CreateRemoteThread的参数,因为本进程的内存空间与远程进程的不一样。
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程(六)之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- 【转2】VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马(转)
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- VC++动态链接库编程之DLL木马
- CSDN最近图片好像不能发了!!!
- 自动查找本机串口的数目并且将其添加至Combo Box中
- DataGrid使用心得(附大量代码)
- 数据库sql的特殊字符:
- 面试时候最难回答的25个问题
- VC++动态链接库编程之DLL木马
- flex 操作xml 实现增删改查
- Google百度和谷歌的那些事
- 如何让百度快速收录俺的站呢?
- 博客图片还在审核中,上传图片可临时用空间相册
- 英语面试技巧1
- 字体的故事:& 的简史与它在设计中应用
- VC++动态链接库编程之读者反馈与答复
- 项目管理简介