技術領域

本發(fā)明涉及一種基于智能化遠程線程注入技術方法。這種方法是主要用在遠程線程注入的監(jiān)控系統(tǒng)實現(xiàn)的關鍵技術和實現(xiàn)方法，分析了在DLL中定時監(jiān)控功能的實現(xiàn)，提出采用兩級監(jiān)控的方法來提高監(jiān)控系統(tǒng)的功能。?

背景技術

監(jiān)控系統(tǒng)必須要保證系統(tǒng)的正常運行，并最大程度地減少系統(tǒng)資源負擔，同時要防止被用戶結束，較為有效的方法就是把進程隱藏。進程隱藏的實現(xiàn)機制包括修改動態(tài)鏈接庫、應用程序的接口掛鉤、遠程線程注入等方式。遠程線程注入技術是指在指定遠程進程中創(chuàng)建線程，通過注入到指定進程的內(nèi)存地址空間。通過遠程線程注入技術將所需的線程代碼注入的目標進程中運行，不創(chuàng)建獨立的進程，很難被發(fā)現(xiàn)，但常規(guī)的遠程線程注入技術難以避過安全檢測技術的檢測。遠程線程注入被廣泛的運用到電腦病毒傳播中，然而也由于其不易被使用者刪除的特點可以協(xié)助管理人員安裝監(jiān)控、計費等系統(tǒng)管理程序而不被使用者破壞，達到安全管理的目的。?

發(fā)明內(nèi)容

針對以上的不足，本發(fā)明的目的是提出一種基于智能化遠程線程注入技術方法，實現(xiàn)在Windows系統(tǒng)下進程的隱藏，將監(jiān)控程序編譯成動態(tài)鏈接庫文件，采用遠程線程注入技術注入到系統(tǒng)進程運行，能有效地提高監(jiān)控系統(tǒng)的安全性能。?

每一DLL必須有一個人口點，DllMain函數(shù)是DLL模塊的默認入口點。DllMain負責初始化和結束工作。DLLMain函數(shù)在將DLL模塊加載到進程時、DLL模塊與進程分離時被調(diào)用。Delphi語言中，DLL入口由DLLProc傳入。?

在DLL文件中編寫一個線程執(zhí)行體函數(shù)ThreadProc實現(xiàn)監(jiān)控的功能，比如監(jiān)控某個程序是否在運行，如果沒有則重新啟動這個程序。定時功能可調(diào)用API函數(shù)SetTimer實現(xiàn)，比用組件精度高。在DLL注入到目標進程后，將監(jiān)控程序創(chuàng)建一個線程，啟動過程如圖2所示。創(chuàng)建和結束線程分別用到CreateThread函數(shù)和TerminateThread函數(shù)。?

CreateThread的函數(shù)定義：?

其中l(wèi)pStartAddress，lpParameter，lpThreadId三個參數(shù)是必須的。lpStartAddress參數(shù)指向的是線程執(zhí)行體ThreadProc的開始地址；lpParameter指針類型，線程的傳入?yún)?shù)，給線程執(zhí)行體ThreadProc傳遞數(shù)據(jù)；lpThreadId返回創(chuàng)建線程ID，這是控制線程必須的。?

實現(xiàn)監(jiān)控功能的DLL文件的主要代碼如下：?

具體實施方式

遠程線程注入技術的主要步驟如下：?

(1)調(diào)整權限，使程序可以訪問其他進程的內(nèi)存空間(EnableDebugPriv)。?

(2)得到遠程進程的HANDLE(OpenProcess)。?

(3)在遠程進程中為要注入的數(shù)據(jù)分配內(nèi)存(VirtualAllocEx)。?

(4)將注入DLL復制到本進程，實現(xiàn)函數(shù)DLL裝載過程(MapInjectFile)。?

(5)把DLL資源復制到分配的內(nèi)存中(WriteProcessMemory)。?

(6)用CreateRemoteThread啟動遠程的線程?。