技術(shù)領(lǐng)域

本發(fā)明涉及一種遠(yuǎn)程線程注入技術(shù)方法。這種方法是主要用在遠(yuǎn)程線程注入的監(jiān)控系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)和實(shí)現(xiàn)方法，分析了在DLL中定時(shí)監(jiān)控功能的實(shí)現(xiàn)，提出采用兩級(jí)監(jiān)控的方法來(lái)提高監(jiān)控系統(tǒng)的功能。?

背景技術(shù)

監(jiān)控系統(tǒng)必須要保證系統(tǒng)的正常運(yùn)行，并最大程度地減少系統(tǒng)資源負(fù)擔(dān)，同時(shí)要防止被用戶結(jié)束，較為有效的方法就是把進(jìn)程隱藏。進(jìn)程隱藏的實(shí)現(xiàn)機(jī)制包括修改動(dòng)態(tài)鏈接庫(kù)、應(yīng)用程序的接口掛鉤、遠(yuǎn)程線程注入等方式。遠(yuǎn)程線程注入技術(shù)是指在指定遠(yuǎn)程進(jìn)程中創(chuàng)建線程，通過(guò)注入到指定進(jìn)程的內(nèi)存地址空間。通過(guò)遠(yuǎn)程線程注入技術(shù)將所需的線程代碼注入的目標(biāo)進(jìn)程中運(yùn)行，不創(chuàng)建獨(dú)立的進(jìn)程，很難被發(fā)現(xiàn)，但常規(guī)的遠(yuǎn)程線程注入技術(shù)難以避過(guò)安全檢測(cè)技術(shù)的檢測(cè)。遠(yuǎn)程線程注入被廣泛的運(yùn)用到電腦病毒傳播中，然而也由于其不易被使用者刪除的特點(diǎn)可以協(xié)助管理人員安裝監(jiān)控、計(jì)費(fèi)等系統(tǒng)管理程序而不被使用者破壞，達(dá)到安全管理的目的。?

發(fā)明內(nèi)容

針對(duì)以上的不足，本發(fā)明的目的是提出一種遠(yuǎn)程線程注入技術(shù)方法，實(shí)現(xiàn)在Windows系統(tǒng)下進(jìn)程的隱藏，將監(jiān)控程序編譯成動(dòng)態(tài)鏈接庫(kù)文件，采用遠(yuǎn)程線程注入技術(shù)注入到系統(tǒng)進(jìn)程運(yùn)行，能有效地提高監(jiān)控系統(tǒng)的安全性能。?

每一DLL必須有一個(gè)人口點(diǎn)，DllMain函數(shù)是DLL模塊的默認(rèn)入口點(diǎn)。DllMain負(fù)責(zé)初始化和結(jié)束工作。DLLMain函數(shù)在將DLL模塊加載到進(jìn)程時(shí)、DLL模塊與進(jìn)程分離時(shí)被調(diào)用。Delphi語(yǔ)言中，DLL入口由DLLProc傳入。?

在DLL文件中編寫(xiě)一個(gè)線程執(zhí)行體函數(shù)ThreadProc實(shí)現(xiàn)監(jiān)控的功能，比如監(jiān)控某個(gè)程序是否在運(yùn)行，如果沒(méi)有則重新啟動(dòng)這個(gè)程序。定時(shí)功能可調(diào)用API函數(shù)SetTimer實(shí)現(xiàn)，比用組件精度高。在DLL注入到目標(biāo)進(jìn)程后，將監(jiān)控程序創(chuàng)建一個(gè)線程，啟動(dòng)過(guò)程如圖2所示。創(chuàng)建和結(jié)束線程分別用到CreateThread函數(shù)和TerminateThread函數(shù)。?

CreateThread的函數(shù)定義：?

其中l(wèi)pStartAddress，lpParameter，lpThreadId三個(gè)參數(shù)是必須的。?

lpStartAddress參數(shù)指向的是線程執(zhí)行體ThreadProc的開(kāi)始地址；lpParameter指針類型，線程的傳入?yún)?shù)，給線程執(zhí)行體ThreadProc傳遞數(shù)據(jù)；lpThreadId返回創(chuàng)建線程ID，這是控制線程必須的。?

實(shí)現(xiàn)監(jiān)控功能的DLL文件的主要代碼如下：?

具體實(shí)施方式

遠(yuǎn)程線程注入技術(shù)的主要步驟如下：?

(1)調(diào)整權(quán)限，使程序可以訪問(wèn)其他進(jìn)程的內(nèi)存空間(EnableDebugPriv)。?

(2)得到遠(yuǎn)程進(jìn)程的HANDLE(OpenProcess)。?

(3)在遠(yuǎn)程進(jìn)程中為要注入的數(shù)據(jù)分配內(nèi)存(VirtualAllocEx)。?

(4)將注入DLL復(fù)制到本進(jìn)程，實(shí)現(xiàn)函數(shù)DLL裝載過(guò)程(MapInjectFile)。?

(5)把DLL資源復(fù)制到分配的內(nèi)存中(WriteProcessMemory)。?

(6)用CreateRemoteThread啟動(dòng)遠(yuǎn)程的線程。?