windows nt-2000系统下进程的隐藏毕业论文

《windows nt-2000系统下进程的隐藏毕业论文》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、WindowsNT/2000系统下进程的隐藏毕业论文摘要进程的隐藏一直是木马程序设计者不断探求的重要技术，本文采用远程线程技术，通过动态链接库，较好地解决了这一，通过远程线程将木马作为线程隐藏在其他进程中，从而达到隐藏的目的。关键字进程线程木马动态链接库木马程序(也称后门程序)是能被控制的运行在远程主机上的程序，由于木马程序是运行在远程主机上，所以进程的隐藏无疑是大家关心的焦点。本文了ODULEphmd;//存放kernel32.dll句柄HANDLEhRemoteThread1=NULL;//存放远程线程句柄TForm1*Form1;//-----

2、----------------------------------------------------__fastcallTForm1::TForm1(Tponent*O(O1::Button1Click(TObject*Sender{PROCESSENTRY32pe32={0};DessageBox(NULL,"取第一个进程失败","",MB_OK);exit(0);}hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD

3、PROCESS_VM_OPERATION

4、PROCESS_VM_EM_MIT,PA

5、GE_READemory(hRemoteProcess,pszLibFileRemote,(LPVOID)pszLibFileName.c_str(),cb,NULL);//把dll文件名写入申请的空间phmd=GetModuleHandle("kernel32.dll");LPTHREAD_START_ROUTINEfnStartAddr=(LPTHREAD_START_ROUTINE)GetProcAddress(phmd,"LoadLibraryA");//获取动态链接库函数地址hRemoteThread1=CreateRemoteThread

6、(hRemoteProcess,NULL,0,pfnStartAddr,pszLibFileRemote,0,NULL);//创建远程线（转载自中国评价网.nseac.）if(hRemoteThread1!=NULL)CloseHandle(hRemoteThread1);//关闭远程线程if(hProcessSnap!=NULL)CloseHandle(hProcessSnap);//关闭进程快照}　　该程序编译后命名为RmtDll.exe,运行时点击界面上的按钮即可。至此，远程嵌入顺利完成，为了试验我们的hide.dll是不是已经正常地在远程线程

7、运行，我同样在C++Builder4.0环境下编写并编译了下面的hide.dll作为测试：#include<vcl.h>#include<ahdrstop#pragmaargsusedBOOLB_OK);break;}default:}returnTRUE;}　　当使用RmtDll.exe程序将这个hide.dll嵌入IEXPLORE.EXE进程后假设PID=1208），该测试DLL弹出了1208字样的确认框，同时使用PS工具也能看到:　　　ProcessID:1208　　　C:WINNTIEXPLORE.EXE(0x00400

8、000)　　　……　　　C:WINNThide.dll(0x100000000)　　　……　　这证明hide.dll已经在IEXPLORE.EXE进程内正确地运行了。上面程序的头文件由编译器自动生成，未作改动，故略之。5结束语进程隐藏技术和方法有很多，而且这一技术发展也相当快，本文仅从一个侧面加以讨论，希望通过这一探讨让我们对进程隐藏技术有一个更清楚的认识，同时也为我们防范他人利用进程隐藏手段非法入侵提供，本文抛砖引玉，不当之处诚恳批评指正。（作文网zw.ΝsΕAc.发布）1JeffreyRichter著王建华、张焕生、侯丽坤等译Windows核

9、心编程机械出版社2K．赖斯多夫H.亨德森著希望图书创作室译BorlandC++Builder实用培训教程上一页[1][2][3]