阻止恶意远程线程.doc

下载文档 降价啦

2
0
约1.22万字
约 18页
2017-09-16 发布于湖北
举报
版权申诉
保障服务

阻止恶意远程线程.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

阻止恶意远程线程

阻止恶意远程线程在WIN2000/XP/2003里，远程线程只有在建立新进程时，系统会用远程线程调用新进程的入口函数，除此之外，建立远程线程的一般是恶意程序，如何发现这些恶意程序并找到建立恶意程序的执行文件呢？下面本人提供一个最近完工的小程序。先说原理：在WIN2000/XP/2003里，建立本地线程和远程线程都是调用ntdll.dll里的NtCreateThread函数，只不过是如果建立本地线程，则进程句柄是-1，反之则是目标进程的句柄（一个大于0且小于0xffffffff 的具体数字）。而本程序先驻留ntdll+800h处的空隙，之后拦截NtCreateThread，如果是建立本地线程则跳过，如果是建立远程线程，就跟踪到目标进程，在目标进程分配4K内存，把自身复制到目标进程，并且把远程线程的入口改为跟踪代码，经过跟踪代码的判断，而决定是否让远程线程执行。判断规则是：如果远程线程所处的模块没有MZ头和PE头，则拒绝；如果远程线程的入口是LoadLibrary 函数的地址，也拒绝；其他的就放行。由于要抢先拦截NtCreateThread函数，所以采用驱动的形式。编译方法： @ml /c /coff /Cp %1.asm @link /subsystem:native /driver:wdm /release /align:16 /base:0x10000 /section:.text,RWE /out:%1.sys %1.obj @del %1.obj 安装驱动的方法： copy/y artwdm.sys %systemroot%/system32/drivers sc create artwdm binpath= %systemroot%/system32/drivers/artwdm.sys type= kernel error= ignore start= system sc start artwdm 下面是源代码： .586p .model flat,stdcall option casemap:none assume fs:nothing assume gs:nothing includelib ntoskrnl.lib ;必须从WIN2000 DDK复制到MASM的INCLUDE目录 NtQuerySystemInformation proto :dword,:dword,:dword,:dword .const align 4 szdll db ntdll.dll,0 align 4 szNtQueryVirtualMemory db NtQueryVirtualMemory,0 align 4 szNtAllocateVirtualMemory db NtAllocateVirtualMemory,0 align 4 szNtWriteVirtualMemory db NtWriteVirtualMemory,0 align 4 szNtCreateThread db NtCreateThread,0 align 4 szMyLdrLoadDll db LdrLoadDll,0 .data? dwTempVar dd ? szTempBuffer db 10000h dup(?) .code start: ;int 3 nop nop nop nop pushad call _GetNtdllHandle ;获取ntdll.dll的地址 mov ebx,eax mov hntdll,eax .if !eax jmp _exit .endif push offset szMyLdrLoadDll ;获取ntdll.LdrLoadDll函数的地址 push ebx call _GetProcAddress mov lpLdrLoadDll,eax .if !eax jmp _exit .endif push offset szNtQueryVirtualMemory ;获取ntdll.NtQueryVirtualMemory函数的地址 push ebx call _GetProcAddress mov lpNtQueryVirtualMemory,eax .if !eax jmp _exit .endif push offset szNtAllocateVirtualMemory ;获取ntdll.NtAllocateVirtualMemory函数的地址 push ebx call _GetProcAddress mov lpNtAllocateVirtualMemory,eax .if !eax jmp _exit .endif push offset szNtWriteVirtualMem