木马后门程序在WINNT中进程隐藏和查找的方法.docVIP

木马后门程序在WINNT中进程隐藏和查找的方法 　在WIN9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WINNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WINNT的任务管理器，以至于很多的朋友问我：在WINNT下难道木马真的再也无法隐藏自己的进程了?本文试图通过探讨WINNT中木马的几种常用隐藏进程手段，给大家揭示木马/后门程序在WINNT中进程隐藏的方法和查找的途径。 　　我们知道，在WINDOWS系统下，可执行文件主要是Exe和Com文件，这两种文件在运行时都有一个共同点，会生成一个独立的进程，查找特定进程是我们发现木马的主要方法之一 无论手动还是防火墙 ，随着入侵检测软件的不断发展，关联进程和SOCKET已经成为流行的技术 例如著名的FPort就能够检测出任何进程打开的TCP/UDP端口 ，假设一个木马在运行时被检测软件同时查出端口和进程，我们基本上认为这个木马的隐藏已经完全失败 利用心理因素而非技术手段欺骗用户的木马不在我们的讨论范围之内 。在NT下正常情况用户进程对于系统管理员来说都是可见的，要想做到木马的进程隐藏，有两个办法，第一是让系统管理员看不见 或者视而不见 你的进程;第二是不使用进程。 　　看不见进程的方法就是进行进程欺骗，为了了解如何能使进程看不见，我们首先要了解怎样能看得见进程：在Windows中有多种方法能够看到进程的存在：PSAPI Process Status API ，PDH Performance Data Helper ，ToolHelp API，如果我们能够欺骗用户或入侵检测软件用来查看进程的函数 例如截获相应的API调用，替换返回的数据 ，我们就完全能实现进程隐藏，但是一来我们并不知道用户/入侵检测软件使用的是什么方法来查看进程列表，二来如果我们有权限和技术实现这样的欺骗，我们就一定能使用其它的方法更容易的实现进程的隐藏。 　　第二种方法是不使用进程，不使用进程使用什么?为了弄明白这个问题，我们必须要先了解Windows系统的另一种“可执行文件”DLL，DLL是Dynamic Link Library 动态链接库 的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。 你你你，你刚刚不是说不用进程了? 别急呀，听我慢慢道来：因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL，假设我们编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马DLL，如果那个进程是可信进程， 例如资源管理器Explorer.exe，没人会怀疑它是木马吧? 那么我们编写的DLL作为那个进程的一部分，也将成为被信赖的一员而为所欲为。 　　运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，其中Rundll是16位而Rundll32是32位的 分别调用16位和32位的DLL文件 ，Rundll32的使用方法如下： 　　Rundll32.exe DllFileName FuncName 　　例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc就可以执行MyFunc函数的功能。 　　如何运行DLL文件和木马进程的隐藏有什么关系么?当然有了，假设我们在MyFunc函数中实现了木马的功能，那么我们不就可以通过Rundll32来运行这个木马了么?在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是木马文件，这样也算是木马的一种简易欺骗和自我保护方法 至少你不能去把Rundll32.exe删掉吧 使用Rundll32的方法进行进程隐藏是简易的，非常容易被识破。 虽然杀起来会麻烦一点 比较高级的方法是使用特洛伊DLL，特洛伊DLL的工作原理是替换常用的DLL文件，将正常的调用转发给原DLL，截获并处理特定的消息。例如，我们知道WINDOWS的Socket 1.x的函数都是存放在wsock32.dll中的，那么我们自己写一个wsock32.dll文件，替换掉原先的wsock32.dll 将原先的DLL文件重命名为wsockold.dll 我们的wsock32.dll只做两件事，一是如果遇到不认识的调用，就直接转发给wsockold.dll 使用函数转发器forward ;二是遇到特殊的请求 事先约定的 就解码并处理。这样理论上只要木马编写者通