软件安全第七次实验报告.docxVIP

软件安全第七次实验报告班级：2010211316 学号 姓名：曹梦晨1、目标学习和掌握计算机木马信息窃取及自启动关键技术调试目标代码，执行记录回放等（菜单中function-record,stop,replay）功能，并找到记录键盘和鼠标操作的关键代码进行调试，理解其原理。结合上课讲过的自启动技术，在2000虚拟机中使上一步中调试的目标程序在系统重启后自动启动，要求至少通过实现3种方式实现。作业要求：详述调试及追踪过程实验结果需要截图证明思考题通过映射劫持、文件关联方式，使目标程序通过其他程序或关联关系启动。2、测试步骤与结果2.1 调试学习目标代码Step1：使用VC6打开replayView工程：图2-1打开replayView工程这里可以看到，replayView工程是一个基于单文本的MFC工程，尝试使用该程序录制键盘、鼠标信息：图2-2 测试replay程序通过先执行record，然后执行stop，最后执行replay，可以记录之间的鼠标信息和键盘信息，并在执行replay后重放。Step2：调试并分析replay程序核心代码：在调试之前现初步查看程序结构，发现核心代码在五个函数中： void CReplayView::OnFunctionStart()，这个函数响应单击菜单栏start消息，用于加载消息钩子，核心代码为：recHook=SetWindowsHookEx(WH_JOURNALRECORD,(HOOKPROC)RecHook,(HINSTANCE)AfxGetApp()-m_hInstance,0); void CReplayView::OnFunctionStop()，这个函数响应单击菜单栏stop消息，用于卸载消息钩子，核心代码为：UnhookWindowsHookEx(recHook); void CReplayView::OnFunctionReplay()，这个函数响应单击菜单栏stop消息，用于卸载消息钩子，核心代码为：playHook=SetWindowsHookEx(WH_JOURNALPLAYBACK,(HOOKPROC)PlayHook,(HINSTANCE)AfxGetApp()-m_hInstance,0); LRESULT CALLBACK RecHook(int code,WPARAM wParam,LPARAM lParam)，这个函数是一个回调函数，用于将消息记录到数组中，以备提取，核心代码如下：if(code0)return CallNextHookEx(recHook,code,wParam,lParam);else if(code==HC_SYSMODALON)recOK=0;else if(code==HC_SYSMODALOFF)recOK=1;else if(recOK (code==HC_ACTION)){EventArray[recordedEvent]= *((PEVENTMSG)lParam);recordedEvent++;if(recordedEvent==1000){UnhookWindowsHookEx(recHook);}//消息上限达到1000时，自动卸载钩子} LRESULT CALLBACK PlayHook(int code,WPARAM wParam,LPARAM lParam)，这个函数也是一个回调函数，用于将消息从数组中提取，并恢复消息，核心代码如下：if(code0)return CallNextHookEx(playHook,code,wParam,lParam);else if(code==HC_SYSMODALON)playOK=0;else if(code==HC_SYSMODALOFF){playOK=1;}else if(playOK (code==HC_GETNEXT)){if(fDelay){fDelay=FALSE;return 50;}*((PEVENTMSG)lParam)=EventArray[playedEvent];}else if(playOK (code==HC_SKIP)){fDelay=TRUE;playedEvent++;}if(playedEvent=recordedEvent){UnhookWindowsHookEx(playHook);}2.2设置开机自启动方法一：修改注册表启动项通过将开机自启动的程序添加到：SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\或者SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\中，来确保其开机