上一篇:被诅咒的画——图片病毒技术内幕 >>
浅析进程“伪隐藏”技术与实现两则
这里的"伪隐藏"指的是,虽然在"windows任务管理器"进程列表中可以看到其进程存在,但在硬盘中却找不到或者说不容易找到其相对应的程序文件。
一:乾坤大挪移
大家都知道,当一个程序正在运行时,win系统是不允许我们把其删除的(所以才会有人寻找程序自删除_blank>技术),但却不知大家是否注意到,在win2000中,当一个程序正在运行时,我们虽然不能把它删除,但我们却可以把程序文件在同一分区内移动位置以及重命名,你可以自己试验一下!这也就是"windows文件保护"所使用的方法!试想,如果我们的程序在运行后,立即把自身移动位置并重命名,而在"windows任务管理器"进程列表中显示的却还是原来的程序名,那你又该如何来查找到其对应的程序文件呢?当然如果程序在内存中没有进行变形的话,你可以利用内存查看_blank>软件(如winhex)并利用查找功能来找到相对应的程序文件,但如果程序在内存中变形
,也可以说解密,使得内存映像和硬盘中的原程序文件不同,那我是暂时没法找出来啦!
实现_blank>代码如下(masm):
;进程隐藏之乾坤大挪移(只能在同分区内移动)
.386
.model flat, stdcall
option casemap:none
include windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
.data?
selfname db max_blank>_path dup(?)
.data
movename db "c:\mm.jpg",0
.code
main:
invoke getmodulefilename,null,addr selfname,max_blank>_path;得到自身路径
mov al, byte ptr selfname;得到所在分区
mov byte ptr movename,al;修正movename,使其在同分区内移动
invoke movefile,addr selfname,addr movename;把自身移动位置并改名
invokemessagebox,null,offset selfname,offset movename,mb_blank>_ok
invoke exitprocess, null
end main
本例程在win2000下调试通过,xp" target=_blank>xp和win2003应该也可以,请有条件的弟兄测试,win98和winme不能用,与硬盘格式无关!
二:程序自删除(仅适用于ntfs硬盘分区格式)
在ntfs分区下存在文件流早已不是什么秘密啦,但大家主要用它来隐藏文件,我在一次测试中却发现当我运行一个文件流程序时,这个文件流程序所在的宿主文件却是可以被删除的!进一步测试发现文件流程序运行时并无法直接删除这个文件流程序,只能删除宿主文件,从而来删除文件流程序。利用此特性,我们同样可以实现类似于上例的效果,且比其隐藏效果要好点。方法为:判断是否是ntfs格式分区,如果是则把自身复制为一个文件流,并运行复制的文件流,运行时检测到自己是存在于文件流中时就删除宿主文件。
实现_blank>代码如下(masm):
;进程隐藏之文件流(只能用于ntfs分区格式)
.386
.model flat, stdcall
option casemap:none
include windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
.data?
selfnamedb max_blank>_path dup(?)
szfilesystemnamedb 10 dup(?)
.data
delname db "`.`:icyfox.exe",0
;此处的"`.`:icyfox.exe"可以改为其他文件名如"cs.txt:cs.exe"
;我这里用"`.`"的目的是为了防止删除其他存在的文件
szerr db "我不在ntfs格式的分区内,退出!",0
szyes db "我在下面的流内,已被删除!",0
.code
main:
invoke getmodulefilename,null,addr selfname,max_blank>_path
mov bl,byte ptr selfname+3
mov byte ptr selfname+3,0
xor eax,eax
;下面获取自身所在分区格式,并判断是否是ntfs格式
invokegetvolumeinformation,addr selfname,eax,eax,\
eax,eax,eax,addr szfilesystemname, sizeof szfilesystemname
mov byte ptr selfname+3,bl
.if dword ptr szfilesystemname!='sftn';ntfs
invokemessagebox,null,offset szerr,null,mb_blank>_ok
invoke exitprocess, null
.endif
;下面判断自己是否在流(stream)中
;如果路径中含有两个:号,说明自己在文件流中
leaesi,selfname
xor edx,edx
@@:
lodsb
oral,al
jz@f;遇到0结束
.if al==":"
inc edx
.endif
.if edx==2
mov byte ptr [esi-1],0
invoke deletefile,addr selfname ;删除宿主文件
invokemessagebox,null,offset delname,offset szyes,mb_blank>_ok
invoke exitprocess, null
.endif
jmp@b
;下面是当自身不在文件流中时,把自身复制到流中并运行
@@:
invoke copyfile,addr selfname,addr delname,false
invokewinexec,addr delname,null
invoke exitprocess, null
end main
附加品:
我在测试时发现,当delname(也就是流名)为" .:icyfox.exe" (.前为一空格,也可以是其他字符)时,会产生一个无法删除的文件" .",我的盘中还留着它,请大家想想办法帮我删掉它!我怀疑可能和那个文件夹漏洞有关,但现在是文件,我在后面加上\也删不掉!
()
下一篇:Web服务体系结构 >>
相关文章:
- · 教你如何解决ADSL断流/断线问题
- · 10款Linux下安全工具详细介绍
- · 揭开Windows网络邻居的内幕秘密
- · SQL注入攻击零距离
- · 灰鸽子注册成系统服务的方法
- · 红色警报:小心你的ADSL猫
- · 让BT下载的速度狂飚起来
- · Windows系统属性造假原理
- · 用ISA+瑞星构筑网络安全的铜墙铁壁
- · 图解“微软网络安全热修补检查器”
- · 远离“间谍”,三大反间谍软件利器
- · BAT批处理文件语法
- · Windows 2000 命令全集
- · 知己知彼--经典黑客远程攻击过程概要
- · 关闭不用的端口保安全
- · 何谓缓冲区溢出
- · 并不神奇的Real影片木马
- · CHM帮助文件的编程实现
- · 使用Magic Winmail来提升权限
- · 解析系统漏洞扫描的两大类型
- · 局域网监控我最行——Netrobocop
- · 让Ghostbusters为电脑保驾护航
- · 辨别入侵检测系统性能的方法
- · 瑞星个人防火墙安装与使用
- · 系统漏洞扫描之王——Nmap详解
- · 图解杀毒软件McAfee的使用方法
- · LB论坛(所有版本)跨站脚本漏洞
- · 破解QQ“隐身”的几大绝招
- · 入侵不要忘了"Site:Titel:..."
- · Linux中实现局域网远程接入
- · QQ 2005贺岁版登录口令加密算法及其源代码
- · 脚本的巧妙应用
- · Linux操作系统12则经典应用技巧
- · 绕过javascript的过滤----Flash!attack漏洞
- · 只用ISO映像文件能装系统
- · 用perl调用系统命令来实现IPC$远程猜解
- · 外挂编写完全攻略
- · 注册表的六种个性化应用