vc下揭开“特洛伊木马”的隐藏面纱---vc-为中国网络技术提供点滴动力-iyit.net-易特网络技术！

　　通行证: 用户密码

域名空间　下载中心　 社区论坛　信息公告 my小屋

联系我们
设为首页
加入收藏

qq,asp,php,jsp,xml,sql,.net,编程程序网页图象建站经验私服


	当前位置：首页>>编程开发>>vc编程>>正文	新版上线！[旧版]

注:打开慢时请稍等

vc下揭开“特洛伊木马”的隐藏面纱

http://www.iyit.net 日期：2006-5-3 21:17:56 来源：天极网点击：

【参加讨论】　　摘要：本文针对于黑软隐藏程序的技术对其基本原理和多种实现方法做了较为深入的剖析。

　　关键字：黑客软件、隐藏程序、visual c++

　　一、引言

　　“特洛伊木马”曾在网上造成很大恐慌，此类黑客程序通过欺骗手段在普通网络用户端安装木马的服务端，使用户的计算机在上网时留有后门，而黑客则可以通过这个后门对被感染的计算机随心所欲地进行监视、破坏。显然这种黑软对于普通网络用户的危害是非常严重的。

　　就本质而言黑客软件仍然属于应用程序，是基于套接字的网络通讯程序。因此黑客能成功攻击被感染计算机的一个非常必要的先决条件就是此时被攻击方已经有木马程序的服务端在运行。由于木马程序是一种恶意程序，能在被攻击者没有察觉的情况下悄悄启动运行为攻击者打开后门，故显然不能象其他程序一样堂而皇之的显示在任务栏和任务列表中，否则会立即为用户所察觉而将其关闭，也就失去了为攻击者提供后门的作用。本文下面就针对其隐藏程序的机理展开讨论。

　　二、程序在任务栏中的隐藏原理

　　程序在任务栏的隐藏比较简单，首先要保证程序主界面的隐藏，一般是通过修改应用程序类的初始化实例函数initinstance()的showwindow（）语句的sw_show参数为sw_hide来实现的。主界面隐藏的同时任务栏虽然也会消失，但在程序启动时会闪一下，因此需要修改程序的扩展属性。一种方法是sdk的写法，即直接利用getwindowlong()获取到当前的扩展属性然后通过逻辑运算去掉原有的ws_ex_appwindow属性，并新添加一个ws_ex_toolwindow属性，这样系统会将其认为是一个工具条窗口而不会再在任务栏中加以显示。最后需要将修改过的扩展属性通过setwindowlong()函数将其写回。这两个函数的声明分别如下：

long getwindowlong(hwnd hwnd,int nindex);
long setwindowlong(hwnd hwnd,int nindex,long dwnewlong);

　　另一种很简便的是mfc的写法：在程序框架类的预创建窗口函数里通过直接对createstruct结构对象的逻辑操作而将程序属性进行改变：

cs.style=ws_popup;
cs.dwexstyle|=ws_ex_toolwindow;

　　这两种写法虽然表现形式各不相同，其本质都是一样的。

　　三、程序在任务列表中的隐藏原理

　　任务列表（ctrl+alt+del时弹出的对话框）显示了当前系统正在运行的一些应用程序，如果实现了上一步，虽然在任务栏看不见程序，但有经验的用户可以通过观察任务列表而发现一些值得怀疑的应用程序而在此将其关闭。所以大多数黑软也都通过较复杂的手段实现了自身在任务列表中的隐藏，使被发现的机会大大降低。

　　在win9x/2000中，一般每个应用程序都要通过一个api(应用程序接口)函数registerserviceprocess()向系统申请注册成为一个服务进程，并且也是通过这个函数注销其服务进程来结束这个服务进程的运行。如果一个进程注册为一个服务进程，通过ctrl+alt+del就可以在任务列表里看见该进程的标题。而如果一个进程运行了但没有向系统申请注册成为服务进程那么就不会在任务列表里显示。黑软也正是利用这个原理使自身在运行时能在任务列表中实现隐藏。该函数存放于系统内核kernel32.dll中，具体声明如下：

dword registerserviceprocess(dword dwprocessid,dword dwtype);

　　其第一个参数指定为一个服务进程的进程标识，如果是0则注册当前的进程；第二个参数指出是注册还是注销当前的进程，其状态分别为：rsp_simple_service和rsp_unregister_service。黑软一般是在程序启动初始化时首先从kernel32.dll动态连接库中将registerserviceprocess()函数加载到内存，然后再通过该函数将程序从任务列表中隐藏：

//从kernel32.dll中加载registerserviceprocess（）
hmodule m_hkernel=::getmodulehandle("kernel32.dll");
rsp m_rsp=(rsp)::getprocaddress(m_hkernel,"registerserviceprocess");
m_rsp(::getcurrentprocessid(),1);//此时为隐藏，当第二个参数为0时显示

　　另外，还有一部分黑软是通过showwindowasync()函数启动一个新的线程来显示一个新窗口的。该函数的原形为：

bool showwindowasync(hwnd hwnd,int ncmdshow);

　　而黑软正是钻了该函数的第二个参数可以设置窗体显示状态的空子，在设置成sw_hide时就可以使目标窗体（黑软）从任务列表中隐藏。

　　四、小结

　　以上就是win9x/2000下的黑客程序所具备的一些基本功能，在此基础上我们可以借助于其实现技巧来编写出一些诸如后台监控之类的实用程序。并且可以通过对黑客类软件的隐藏机理的分析能使广大用户对此类黑软采取一些必要的措施，通过加强防范来使自己的损失防患于未然。
编辑：黑鹰　[发送给好友] [打印本页] [关闭窗口] [返回顶部]
上一篇：多线程技术在vc++串口通信程序中的应用研究
下一篇：vc++实现对远程计算机屏幕的监视
转载请注明来源：www.iyit.net
特别声明： 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。

　相关文章

vc++实现对远程计算机屏幕的监视	多线程技术在vc++串口通信程序中的应用	用vc++制作一个简单的局域网消息发送工
用vc++6.0的sockets api实现一个聊天室	用vc++实现上网拨号功能	vc++ smtp协议电子邮件传送剖析
vc++实现gps全球定位系统定位数据的提取	用vc 6.0实现串行通信的三种方法	用vc++6.0编写proxy服务器
vc++编程实现网络嗅探器	vc编程轻松获取局域网连接通知	用vc++实现版本在线升级
vc下用win32 api实现串行通信	vc++多串口控制解决方案api版	vc编程用upd协议实现广播通信
基于vc的串行通信技术应用实例	vc下使用icmp实现路由跟踪	vc下用mfc类实现网络编程
用vc++6.0实现snmp协议的方法	vc6.0编写c/s消息传送程序	实例解析ipv6下的vc网络编程
用vc++实现企业网络数据共享	vc++下用mscomm控件实现串口通讯	vc6中用dom遍历网页中的元素