遠程線程注入技術(shù)的實現(xiàn)_第1頁
遠程線程注入技術(shù)的實現(xiàn)_第2頁
遠程線程注入技術(shù)的實現(xiàn)_第3頁
遠程線程注入技術(shù)的實現(xiàn)_第4頁
遠程線程注入技術(shù)的實現(xiàn)_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、遠程線程注入技術(shù)的實現(xiàn)3李元良1,黃強2(1.湖南大學(xué)電氣與信息工程學(xué)院,湖南長沙410082;2.長沙理工大學(xué)現(xiàn)代教育技術(shù)中心,湖南長沙410076摘要:通過遠程線程注入技術(shù)可以將編制的線程注入目標(biāo)進程中運行。注入的線程將會與目標(biāo)進程一起共同存在,并不容易被用戶發(fā)現(xiàn)及刪除。討論了實現(xiàn)遠程線程的理論基礎(chǔ),并以實際操作過程與Del phi代碼說明了該技術(shù)的實現(xiàn)過程。關(guān)鍵詞:遠程線程注入;Del phi;代碼中圖分類號:TP311文獻標(biāo)識碼:A文章編號:1005-2763(200603-0077-02I m ple m en t a ti on of Rem ote Thread I n ject

2、i n g ProcessL i yuanliang1,Huang qiang2(1.College of Electric and I nf or mati on Engineering;HunanUniversity,Changsha,Hunan410082,China;2.Center ofModern Educati onal Technol ogy,Changsha University ofScience&Technol ogy,Changsha,Hunan410076,China Abstract:The technique f or injecting thread int o

3、 re mote p r oces2 ses can make writing arbitrary code in target p r ocess available.I njected thread will continue running while the re mote p r ocesses still exist and wont be f ound and deleted easily fr om the virtual memory s pace.This paper discusses the theoretic base and p r o2 vides the Del

4、 ph code t o i m p le ment the re mote injecting of thread.Key W ords:Re mote thread injecting,Del phi,Code遠程線程技術(shù)指在指定遠程進程中創(chuàng)建線程,通過注入到指定進程的內(nèi)存地址空間,由于沒有獨立的運行空間,可以達到安全隱藏運行線程的目的。由于整個過程就像注射一樣,因此又被稱作“注射遠程線程”。遠程線程注入由于其不易被察覺而被廣泛的運用到電腦病毒傳播中,然而也由于其不易被使用者刪除的特點可以協(xié)助管理人員安裝監(jiān)控、計費等系統(tǒng)管理程序而不被使用者破壞,達到安全管理的目的。1創(chuàng)建遠程線程創(chuàng)建遠程線

5、程主要運用W indo ws提供的一個APl函數(shù)CreateRe moteThread,函數(shù)原型如下: HANDLE CreateRe moteThread(HANDLE hPr ocess/要創(chuàng)建遠程線程的進程句柄LPSECUR I TY-ATT R I B UTES I pThread A ttributes,/安全描述符結(jié)構(gòu)指針SI ZE_T d wStackSize,/初始化堆棧大小LPTHRE AD_ST AET_ROUTI N E I pStart A ddress,/線程開始的函數(shù)地址LP VO I D I pPara meter,/線程函數(shù)參數(shù)DWOE D d wCreati

6、onFlags,/指定控制創(chuàng)建線程的標(biāo)志,默認為0。LP DWOE D I pThreadld/返回線程I D,如果傳NULL,則不返回。;其中hPr ocess,I p start A ddress和I pPara meter是必需的,分別代表要創(chuàng)建遠程線程的進程句柄,線程開始的函數(shù)地址和線程函數(shù)。首先通過OpenPr ocess來打開指定的進程,然后完成以下系列操作:/計算注入線程路徑名需要的內(nèi)存空間int cb=(1+lstrlen W(p sz L ibFileName3sizeof (WCHAR;/使用V irtual A ll ocEx函數(shù)在遠程進程的內(nèi)存地址空間分配注入線程文件名

7、緩沖區(qū)p sz L ibFileRe mote=(P W ST RV irtual A ll ocEx(hRe2 motePr ocess,NULL,cb,M E M_C OMM I T,P AGE_RE ADWR I TE;/使用W ritePr ocess Me mory函數(shù)將線程的路徑名復(fù)制到遠程進程的內(nèi)存空間i ReturnCode=W ritePr ocess Me mory(hRe motePr ocess,p sz L ibFileRe mote,(P VO I Dp sz L ibFile Na me,cb, NULL;/計算Load L ibrary W的入口地址PTHRE

8、AD_ST ART_ROUTI N E pfnStart A ddr= (PTHRE AD_ST ART_ROUTI N EI SS N1005-2763 CN43-1215/T D 礦業(yè)研究與開發(fā)第26卷第3期M I N I N GR&D,Vol.26,No.32006年6月Jun.20063收稿日期:2005-07-21作者簡介:李元良,1970,男,湖南岳陽人,講師,碩士,研究方向為移動通訊.GetPr oc Address(Get M oduleHandle(TEXT(Kernel32, Load L ibrary W;/調(diào)用Load L ibrary W函數(shù)啟動注入線程。通過建立遠程

9、線程的地址pfnStart A ddr,即LoadL ibrary W的入口地址和傳遞的參數(shù)p sz L ibFil2 eRe mote,即復(fù)制過去的線程的全路徑文件名,在遠程進程內(nèi)啟動注入線程:hRemoteThread=CreateRe moteThread(hRe motePr o2 cess,NULL,0,pfnStart A ddr,p sz L ibFileRe mote,0,NULL;至此只要宿主進程存在,注入的p sz L ibFile Na me 就可一直運行,而且它是運行在宿主的進程里。2實例演示(1尋找宿主進程,該段程序主要是尋找Ex2 p l orer.exe進程,并獲

10、得進程I D號,以備注入程序調(diào)用。p r ocedure Get M yPr ocessI D(const AFilena me:string;const Path Match:Boolean;var Pr ocessI D:DWORD;beginFound APr oc:=Pr ocess32First(Sshandle,l ppe;while Found APr oc dobegin進行匹配如未找到,繼續(xù)下一個進程Found APr oc:=Pr ocess32Next(Ss Handle,l ppe;end;end。(2注入遠程進程。functi on I nject D llToTar

11、get(dll N a me:string;TargetPr o2 cessI D:DWORD:boolean;varL ib Name:pointer;hPr ocess,ThreadHandle:Thandle;Bytes W ritten,Thead I D:DWORD;beginresult:=false;/取得遠程進程句柄,具有寫入權(quán)限hPr ocess:=OpenPr ocess(PROCESS_ALL_ACCESS, F ALSE,TargetPr ocessI D;if(hPr ocess=0then exit;/用函數(shù)V irtual A ll ocex在遠程進程分配空間,并

12、用W ritePr ocess Memory寫入注入線程路徑L ib Na me:=V irtual A ll ocEx(hPr ocess,0,length(dll2 Na me+5,ME M_COMM I T,P AGE_RE ADWR I TE;if(L ib Na menilthenbeginW ritePr ocess Me mory(hPr ocess,L ib Na me,pchar(dll2 Na me,length(dll N a me,Bytes W ritten;end;/在遠程進程中啟動注入線程ThreadHandle:=CreateRe moteThread(hPr

13、ocess,nil, 0,GetPr oc Address(Load L ibrary(kernel32.dll,Load L i2 brary A,L ib Name,0,Thead I D;result:=ThreadHandle0;W aitForSingle Object(ThreadHandle,I N F I N I TE;/等待進程執(zhí)行/釋放為D ll分配的內(nèi)存V irtualFreeEx(hPr ocess,L ib Name,0,M E M_RE2 LE ASE;Cl oseHandle(hPr ocess;end;vard wRe motePr ocessI D:Dword

14、;dll_t o_inject:string;begindll_t o_inject:=M yTest.dll;/這是示例D ll文件,可以是其它任何D ll文件Get M yPr ocessI D(Exp l ore.exe,False,d wRe motePr o2 cessI D;if I nject D llToTarget(dll_t o_inject,d wRe motePr ocessI D thenwrite Ln(遠程線程注入成功elsewrite Ln(遠程線程注入失敗;end.(3程序調(diào)用在程序中調(diào)用該函數(shù),運行程序即可完成將MyTest.D ll注入Exp l ore進

15、程中,如果修改其中的注入進程名稱則可以改變需要注入的進程:I nject D llT oTarget(extractfilepath(param str(0+(下轉(zhuǎn)第85頁87礦業(yè)研究與開發(fā)2006,26(3演化。研究礦區(qū)資源環(huán)境承載力的發(fā)展趨勢與礦區(qū)生態(tài)系統(tǒng)彈性力不同(見圖2,1990年后就處于下降趨勢,直到1997年前后開始緩慢上升,向著健康的趨勢發(fā)展。礦區(qū)生態(tài)系統(tǒng)壓力層的擬合曲線見圖3,其趨勢為19901996年間迅速上升,19961998年上升趨勢迅速變緩,1999年以后稍有下降趨勢,對礦區(qū)生態(tài)系統(tǒng)的壓力開始減小。礦區(qū)經(jīng)濟社會的發(fā)展,特別是單純考慮速度的發(fā)展,將對礦區(qū)生態(tài)系統(tǒng)彈性力造成

16、破壞,使礦區(qū)的資源環(huán)境承載力下降,從研究礦區(qū)生態(tài)承載力各層次評價結(jié)論來看也確實如此。研究礦區(qū)生態(tài)系統(tǒng)壓力指數(shù)19901996年7年間迅速增加,而1997 2002年6年間增長緩慢,說明在1996年以前生態(tài)系統(tǒng)的壓力對礦區(qū)生態(tài)系統(tǒng)彈性力和資源環(huán)境承載力影響較大,而1996年以后影響逐漸減弱,從研究礦區(qū)19892002年生態(tài)系統(tǒng)彈性力趨勢(見圖1和研究礦區(qū)資源環(huán)境承載力趨勢(見圖2上得出了同樣的結(jié)論,礦區(qū)生態(tài)彈性力在1999年后開始上升,資源環(huán)境承載力在1998年以后也處于明顯的上升趨勢。從研究礦區(qū)19902001年生態(tài)系統(tǒng)彈性力和資源環(huán)境承載力變化趨勢的相互關(guān)系看,盡管1999年后總趨勢都開始上

17、升,但總的發(fā)展趨勢有所差異。即生態(tài)系統(tǒng)彈性力的變化關(guān)系1990年處于上升趨勢,1994年開始下降,19981999年之間達到最小然后開始逐步上升;而資源環(huán)境承載力指數(shù)則表現(xiàn)為從1990年開始就處于下降趨勢,1997年以后開始上升。分析其原因可以認為一方面礦區(qū)生態(tài)系統(tǒng)彈性力的發(fā)展變化比較緩慢,同資源環(huán)境承載的變化相比有一定的滯后性,其變化趨勢總是落后于礦區(qū)資源環(huán)境承載力;另一方面生態(tài)系統(tǒng)彈性力比較脆弱,破壞了以后不容易恢復(fù),因此在礦區(qū)的可持續(xù)發(fā)展過程中,在加強對礦區(qū)生態(tài)承載力研究的基礎(chǔ)上,更要重視對礦區(qū)生態(tài)彈性力的關(guān)注??傊?通過對礦區(qū)生態(tài)系統(tǒng)承載力各層次的發(fā)展趨勢及層次間相互關(guān)系的研究,可以得

18、到礦區(qū)復(fù)合生態(tài)系統(tǒng)特征及演變狀態(tài)的有關(guān)信息,為促進礦區(qū)生態(tài)環(huán)境的調(diào)控及持續(xù)發(fā)展提供參考依據(jù)。參考文獻:1高吉喜.可持續(xù)發(fā)展理論探討:生態(tài)承載力理論、方法與應(yīng)用M.北京:中國環(huán)境科學(xué)出版社,2001.2冉圣宏.經(jīng)濟開發(fā)活動下典型脆弱生態(tài)區(qū)的動態(tài)變化及其調(diào)控研究D.北京:北京師范大學(xué),2000.3閆旭騫.礦區(qū)生態(tài)系統(tǒng)健康評價理論與方法研究D.北京:北京科技大學(xué),2004.(上接第36頁參考文獻:14戴華陽,王金莊,蔡美峰.巖層與地表移動的矢量預(yù)計方法J.煤炭學(xué)報,2002,27(5:473478.15宋振騏.實用礦山壓力控制M.徐州:中國礦業(yè)大學(xué)出版社,1988.16曹麗文,姜振泉.基于GI S和人

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論