【转帖】Windows Hook <2> 勾子基本理念
上一篇 / 下一篇 2010-01-20 12:08:51 / 个人分类:C++
f|+TLTa0这一期我们就来学习用用钩子技术和内存文件映射共享技术来实现远程线程插入
4o0q*H\(I(M
@0 51Testing软件测试网5h8peM2jK(f
现在网上关于这项编程技术的介绍满天飞,因为要想写出一个好的后门,该后门至少要达到高隐蔽.
I(Jsl&Y:\V({0防查杀,无端口,自启动等要求,而将木马以DLL的形式嵌入到系统进程中,基本上可以满足要求,而51Testing软件测试网 tSX[sa?
这种远程线程注入技术也成为现代后门和木马程序的一项标准技术指标.51Testing软件测试网9J9P0kgQP;@#^6VG
如果大家要想更为清晰地掌握该项编程技术,强烈推荐细读jeffery Richter的<<Windows核心技术>>.51Testing软件测试网2^By ?YN`q
该书个人觉得是每个学习Windows黑客编程技术爱好者的圣经.
大家知道,传统的远程线程插入是通过以下几个API来完成的;51Testing软件测试网"b`LFH&w ^
51Testing软件测试网{(S bMi&@VG:_·OpenProcess - 用于打开要寄生的目标进程。
M*M Y Q-C6C Iin051Testing软件测试网n:@"ZQJg#M1@bg·VirtualAllocEx/VirtualFreeEx - 用于在目标进程中分配/释放内存空间。51Testing软件测试网&G SQE8Ax.h
#d.IV"p0A1u'c0·WriteProcessMemory - 用于在目标进程中写入要加载的DLL名称。
)\+V5Kl.k:b*gm0e@00OKV9Z4~3a@r0K G_0·CreateRemoteThread - 远程加载DLL的核心内容,用于控制目标进程调用API函数。51Testing软件测试网E"?K yyK(vR
{\z"^2h9M7P:K0·LoadLibrary - 目标进程通过调用此函数来加载病毒DLL。51Testing软件测试网-^+G S] lH,\
51Testing软件测试网:y7D"\\Km;iy这种方法虽然好,但有个缺点:只能在NT核心的系统上有效,在98中无效51Testing软件测试网M!MqREr
51Testing软件测试网!Fo.Cy~N/i并且由于易DLL的特殊性,上面的方法并不奏效,虽然可以用写入汇编码来解决问题
*wv"Bp_z'L'E/| |M s~051Testing软件测试网7X7e3QMp;Oxb但也较不方便,钩子的出现为我们解决了这个难题
qT@8eW-}Bh051Testing软件测试网5m[d1B*Tu'T!c通过钩子实现远程线程插入的思路如下:
,p1\1~a/YR4`0#l0k1`(V`0通过安装windows 消息钩子WH_GETMESSAGE,把待插线程代码所在的DLL注入到其他进程里
Ys _IL"tqr0在钩子回调函数中,判断当前进程ID是否是要插入的进程ID,如果是则创建一个新线程51Testing软件测试网
rljd-s V|
这个新线程函数就是我们要执行的代码所在的函数,到这里也就达到了我们的目地.
现在就产生了一个新问题,由于我们的要执行的代码是放在一个DLL里面的,创建新线程就需要加载51Testing软件测试网4|:]qyS!V&j!c
l
这个DLL,就需要知道DLL路径,还有判断当前进程ID是否是要插入的进程ID,首先也要知道要插入的
5Lk7oQ}0m'UCKj|0进程ID是多少等等这些信息,这就涉及到进程通讯,我们可以用文件映射技术来进行进程通讯.51Testing软件测试网8M:Gd;Z]#q&f
文件映射主要是通过以下几个API来完成的:
vQu*?0? k1Q0(|'?uj9ErL]hi0*CreateFileMapping //创建文件映射对象 ,成功返回文件映射对象句柄
1cS
N(KE&h3Sd(S*U8y0 Dll命令名:CreateFileMapping51Testing软件测试网 W2l%j~PG H1]6r)d
所处动态链接库的文件名:kernel32
;B \;y b{McM0 在所处动态链接库中的命令名:CreateFileMappingA
(iMa&e