再谈窗口攻击技术.pdfVIP

■ ’。；’… ……一 最后再简单说说代码实现。枚举DLL的关键 步骤之一就是获得足够的进程 ，之所 以说是足 够的进程 ．是说尽最大能力找到隐藏中的进 程 。获 取 进 程 的 方 法 很 多 ．比如 解 析 其 中有两个比较特殊的成员L0ngFIagS和 PspCidTabJe、枚举PsActiveProcessHead、HOOK FIags． 查看MMSECTION—FLAGS结构 ，可以发现 SwapContext、OPEN PROCESS FROM 0 TO 65554 一 个成员为lmage。根据调试发现 如果Image为 等 。我提供 的代码里只用 了一种方法 ，枚举 1 ， 那么就是可执行文件 。 MmProcessLinkS。剩下的方法 ，黑防以前都做过 在跟踪调试的时候 ，还发现CONTROL— 精彩的讲述 ，而且网络上也有很多相关的代 AREA-Segment一u2Imagelnfo~录了一些执行 码 ．大家可 以自己补充到工具里 。总体来说 ， 文件的信息，本来想当然的认为可 以以此作为 代码 比较简单 ，不过在解析AVL树的时候千万 判断一个文件是否为可执行文件的依据 但在 不要用递归 ，否则会很郁 闷的。 实现后发现并不准确 。所 以 就找到 了上面提 (编辑提 醒：本文涉 及的代码 ，已收录 入 到的CONTROL—AREA一lJFlags成员。这个方法被 本期光盘杂志相关栏 目；也可以到黑防官方 网 大家关注的少 ，还可以对付一些病毒和木马。 站 下载 ) 前置知识 VB 关键词：编程 、窗 口攻击、HOOk 瓣凰摹 文／图 胡文亮(Hovi．Delphic)[HooS RootkitS自诞生以来 ，为了逃脱被杀毒软件 WlN32APISendMessage对应的是NatiMeAPI 和ARKS歼灭的命运 ，纷纷 以各种方式保护 自 NtUserMessageCal】， WIN32APIPostMessage对 己。什么加壳伪装之类的方法无法使用之后 ， 应的是NativeAPlNtUserPostMessage，如果某 RootkitS就纷纷开始反攻杀毒软件和ARKs。最直 些ARK只是挂钩 了其中一个 函数 ，比如狙剑只 接的反攻方法就是结束杀毒软件和ARKS进程 ， HOOK了NtUserMessageCalJ，天琊只HOOK了 但是在杀毒软件和ARKs进程保护日益增强和无 NtUserPostMessage， 那么就等于没有防范。而至 法加载驱动的情况下，直接结束进程的方法就 于SetParent，在参数过滤不严格的情况下还是可 不太好用 了。为了达到同样的目的，ROOtkitS开 以用的 (1：L~13360，尽管我们不能把它的窗体设 始对杀毒软件和ARKS的窗体进行攻击。从古老 置为自己的子窗体 ，但可以把我们的窗体设置 的窗口消息洪水攻击到去年才曝光的 设置父 为它的子窗体 )。下面 ，介绍四种我总结出来 母卸载窗 口”，都是窗 口攻击技术的典型代 的窗El攻击方法 。 表。尽管各大杀毒软