神马品牌网陆航营编制:什么是线流驻入
来源:百度文库 编辑:神马品牌网 时间:2024/05/07 02:50:17
线程注入式木马
更好的隐藏方式是使木马程序不以进程和服务的方式存在,而是完全溶入系统内核。因此,在设计时,我们不应把它做成一个应用程序,而是做成一个可以注入应用程序地址空间的线程。该应用程序必须确保绝对安全,这样才能达到彻底隐藏的效果,增加查杀的难度。线程注入式木马采用动态嵌入技术将自己的代码嵌入正在运行的进程中。
Windows中每个进程都有自己的私有内存空间,其他进程不得对该私有空间进行操作,但实际上,有很多方法可操作私有空间。动态嵌入技术很多,如窗口Hook、挂接API、远程线程等,远程线程技术相对简单,只要有基本的进程线程和动态链接库的知识就可以轻松实现。
远程线程技术指的是通过在一个远程进程中创建远程线程的方法进入该进程的内存地址空间。可以通过CreateRemoteThread函数在一个远程进程内创建远程线程,被创建的远程线程可以共享远程进程的地址空间,这样就可以通过该线程进入远程进程的内存地址空间,从而拥有了远程进程相当的权限,如在远程进程内部启动一个DLL木马,甚至可以随意篡改其中的数据。远程线程技术的关键在于要将线程函数执行体及其参数复制到远程进程空间中,否则远程线程会在执行时因找不到参数而报错。
没有听说个过 线流驻入