2022年VC下揭开“特洛伊木马”的隐藏面纱.docx

《2022年VC下揭开“特洛伊木马”的隐藏面纱.docx》由会员分享，可在线阅读，更多相关《2022年VC下揭开“特洛伊木马”的隐藏面纱.docx（5页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、2022年VC下揭开“特洛伊木马”的隐藏面纱一、引言“特洛伊木马”曾在网上造成很大恐慌，此类黑客程序通过欺瞒手段在一般网络用户端安装木马的服务端，运用户的计算机在上网时留有后门，而黑客则可以通过这个后门对被感染的计算机为所欲为地进行监视、破坏。明显这种黑软对于一般网络用户的危害是特别严峻的。就本质而言黑客软件仍旧属于应用程序，是基于套接字的网络通讯程序。因此黑客能胜利攻击被感染计算机的一个特别必要的先决条件就是此时被攻击方已经有木马程序的服务端在运行。由于木马程序是一种恶意程序，能在被攻击者没有察觉的状况下静静启动运行为攻击者打开后门，故明显不能象其他程序一样堂而皇之的显示在任务栏和任务列表中

2、，否则会马上为用户所察觉而将其关闭，也就失去了为攻击者供应后门的作用。本文下面就针对其隐藏程序的机理绽开探讨。二、程序在任务栏中的隐藏原理程序在任务栏的隐藏比较简洁，首先要保证程序主界面的隐藏，一般是通过修改应用程序类的初始化实例函数InitInstance()的ShowWindow（）语句的SW_SHOW参数为SW_HIDE来实现的。主界面隐藏的同时任务栏虽然也会消逝，但在程序启动时会闪一下，因此须要修改程序的扩展属性。一种方法是SDK的写法，即干脆利用GetWindowLong()获得到当前的扩展属性然后通过逻辑运算去掉原有的WS_EX_APPWINDOW属性，并新添加一个WS_EX_TO

3、OLWINDOW属性，这样系统会将其认为是一个工具条窗口而不会再在任务栏中加以显示。最终须要将修改过的扩展属性通过SetWindowLong()函数将其写回。这两个函数的声明分别如下：LONG GetWindowLong(HWND hWnd,int nIndex);LONG SetWindowLong(HWND hWnd,int nIndex,LONG dwNewLong);另一种很简便的是MFC的写法：在程序框架类的预创建窗口函数里通过干脆对CREATESTRUCT结构对象的逻辑操作而将程序属性进行变更：cs.style=WS_POPUP;cs.dwExStyle|=WS_EX_TOOLWI

4、NDOW;这两种写法虽然表现形式各不相同，其本质都是一样的。三、程序在任务列表中的隐藏原理任务列表（Ctrl+Alt+Del时弹出的对话框）显示了当前系统正在运行的一些应用程序，假如实现了上一步，虽然在任务栏看不见程序，但有阅历的用户可以通过视察任务列表而发觉一些值得怀疑的应用程序而在此将其关闭。所以大多数黑软也都通过较困难的手段实现了自身在任务列表中的隐藏，使被发觉的机会大大降低。在Win9x/2000中，一般每个应用程序都要通过一个API(应用程序接口)函数RegisterServiceProcess()向系统申请注册成为一个服务进程，并且也是通过这个函数注销其服务进程来结束这个服务进程的

5、运行。假如一个进程注册为一个服务进程，通过Ctrl+Alt+Del就可以在任务列表里望见该进程的标题。而假如一个进程运行了但没有向系统申请注册成为服务进程那么就不会在任务列表里显示。黑软也正是利用这个原理使自身在运行时能在任务列表中实现隐藏。该函数存放于系统内核Kernel32.dll中，详细声明如下：DWORD RegisterServiceProcess(DWORD dwProcessId,DWORD dwType);其第一个参数指定为一个服务进程的进程标识，假如是0则注册当前的进程；其次个参数指出是注册还是注销当前的进程，其状态分别为：RSP_SIMPLE_SERVICE和RSP_UNR

6、EGISTER_SERVICE。黑软一般是在程序启动初始化时首先从Kernel32.dll动态连接库中将RegisterServiceProcess()函数加载到内存，然后再通过该函数将程序从任务列表中隐藏：/从Kernel32.dll中加载RegisterServiceProcess（）HMODULE m_hKernel=:GetModuleHandle(Kernel32.DLL);RSP m_rsp=(RSP):GetProcAddress(m_hKernel,RegisterServiceProcess);m_rsp(:GetCurrentProcessId(),1);/此时为隐藏，当其

7、次个参数为0时显示另外，还有一部分黑软是通过ShowWindowAsync()函数启动一个新的线程来显示一个新窗口的。该函数的原形为：BOOL ShowWindowAsync(HWND hWnd,int nCmdShow);而黑软正是钻了该函数的其次个参数可以设置窗体显示状态的空子，在设置成SW_HIDE时就可以使目标窗体（黑软）从任务列表中隐藏。四、小结以上就是Win9x/2000下的黑客程序所具备的一些基本功能，在此基础上我们可以借助于其实现技巧来编写出一些诸如后台监控之类的好用程序。并且可以通过对黑客类软件的隐藏机理的分析能使广阔用户对此类黑软实行一些必要的措施，通过加强防范来使自己的损失防患于未然。