进程隐藏技术.docVIP

进程隐藏技术 　　摘要：从原理上介绍了进程隐藏的几种方法，如通过API拦截和修改系统活动进程列表等方法，并对各种技术进行了优缺点分析。 　　关键词：进程；隐藏 　　中图分类号：TP309文献标识码：A文章编号：1009-3044(2008)30-0740-02 　　 　　Windows Process Hiding Method 　　SHI Yong-lin,PAN Jin,PANG Xiong-chang,XIE Qing-song 　　(Department one of Xian Communication Institute, Xian 710016,China) 　　Abstract: This paper gives a detail explanation of how to hide process on windows, it introduces three ways to achieve the goal.It also tell the strong and weak point of the different methods. 　　Key words: process;hiding 　　 　　进程隐藏，也就在用户不知情的情况下，悄悄执行自己的代码。这一直是病毒、木马程序设计者不断探求的重要技术，因为这些程序都是见不得光的，都需要较好的隐藏和保护自己。了解进程隐藏技术，是开发防病毒和木马软件的基础，一般来讲，一个程序如果采用进程隐藏技术隐藏自己，那大多情况下其一定是一个病毒或木马等恶意程序。但有些情况下，进程隐藏也是某些类型程序所需要的功能，如某些安全控制程序，例如上网控制系统，其功能要求只能上单位局域网，不能上internet，这种程序需要常驻系统，不能停止和卸载，这则要求进程能有效保护和隐藏自己，以防止用户恶意删除和卸载。 　　进程隐藏是一个古老但一直成长的技术，一直以来隐藏和破解隐藏的斗争都在进行。从原理上讲任何隐藏进程因为其都不能从操作系统的进程调度链中删除，所以说都不能达到真正的隐藏，但是采用多种隐藏和保护机制，的确可以最大限度的保护程序。 　　进程隐藏现在主要有以下几种技术： 　　1) 利用CreateRemoteThread（）函数和代码注入技术在宿主进程，如explorer中运行自己的代码。 　　2) 利用API拦截技术拦截NtQuerySystemInformation函数，过滤掉要隐藏的进程，因为windows任务管理器调用这个函数来获得系统运行的进程列表，这样在windows任务管理器中就隐藏了目标进程。 　　3) 把要隐藏的进程从系统活动进程列表（EPROCESS LIST_ENTRY）中摘除，这样其他的查找进程的函数都不能获取目标进程的信息了。 　　 　　1 利用CreateRemoteThread进行进程隐藏 　　 　　这种方法的主要原理是通过代码注入技术把代码注入到宿主进程中，然后通过调用CreateRemoteThread（）函数在宿主进程中生成自己的线程，运行自己的代码。可以看出这种方法的一个主要工作是代码的注入，也就是怎样才能把自己的代码映射到宿主进程的空间中。 　　代码注入技术分为动态代码注入技术和静态代码注入技术，动态代码注入技术就是在进程启动后或在进程启动时在进程的运行空间中注入代码的技术，而静态注入技术就是在PE格式的.exe文件中插入代码。静态注入技术是病毒感染文件的常用方法，在文献[1]中有详细的叙述。动态注入技术也分为直接代码注入技术和以dll形式的注入技术，直接代码注入技术是利用VirtualAllocEx和CreateRemoteThread两个API来进行的函数级代码注入技术，可以采用汇编的形式，这种方法在文献[1]中的进程隐藏一章中有详细的讲解，也可以采用高级语言如c语言的形式，这种方法有兴趣的可以参考文献[2]。直接代码注入技术对注入的代码有很高的要求，要解决地址重定位等问题，而且注入代码的大小也受到很大的限制，所以不适用于进程级代码的注入。所以进程隐藏一般采用dll形式的动态代码注入技术。 　　利用CreateRemoteThread进行dll形式的动态代码注入技术在[3]中有较详细的论述。要在其他的进程中注入dll，就要求我们能在那个进程中调用LoadLibrary() API，但我们没有权限获得其他进程的执行控制权，幸好微软提供了函数CreateRemoteThread()可以在其他的进程中创建远程线程，而恰好线程函数的原型： 　　DWORD WINAPI ThreadProc(LPVOID lpParameter); 　　和LoadLibrary()的原型： 　　HMODULE WIN