计算机病毒和入侵检测大作业.docVIP

计算机病毒入侵检测大作业 学院（系）： 软件学院 专 业： 软件工程 班 级： 姓 名： 学生学号： 2011年 5 月 26日 摘要 线程是在一个进程里产生的多个执行进度实例，举个简单例子，一个网络文件传输程序如果只有一个线程(单线程)运作，那么它的执行效率会非常低下，因为它既需要从网络上读取文件数据，又需要把文件保存到磁盘，同时还需要绘制当前传输进度条，由于在代码的角度里这些操作只能一条条的顺序执行，程序就不能很好的做到在保存数据的同时绘制传输进度条，即使程序员将其勉强凑到一块执行，在用户方面看来，这个程序的响应会非常缓慢甚至直接崩溃，而“多线程”技术则是为了解决这种问题而产生的，采用“多线程”技术编写的应用程序在运行时可以产生多个同时执行的操作实例，例如一个采用“多线程”技术的网络文件传输程序就能同时分出三个进度来同时执行网络数据传输、文件保存操作和绘制传输进度条的操作，于是在用户看来，这个程序运行非常流畅，这就是线程的作用。在程序运行时，只能产生一个进程，但是在这个进程的内存空间(系统为程序能正常执行而开辟的独立内存领域)里，可以产生多个线程，其中至少有一个默认的线程，被称为“主线程”，它是程序主要代码的运行部分。 “线程注射”的全称是“远程线程注射”(remotethread injection)，通常情况下，各个进程的内存空间是不可以相互访问的，这也是为程序能够稳定运行打下基础，这个访问限制让所有进程之间互相独立，这样一来，任何一个非系统关键进程发生崩溃时都不会影响到其他内存空间里的进程执行。但是在一些特定的场合里，必须让进程之间可以互相访问和管理，这就是“远程线程”技术的初衷，这个技术实现了进程之间的跨内存空间访问，其核心是产生一个特殊的线程，这个线程能够将一段执行代码连接到另一个进程所处的内存空间里，作为另一个进程的其中一个非核心线程来运行，从而达到交换数据的目的，这个连接的过程被称为“注射”(injection)。远程线程技术好比一棵寄生在大树上的蔓藤，一旦目标进程被注射，这段新生的线程就成为目标进程的一部分代码了，只要目标进程不被终止，原进程无论是否还在运行都不会再影响到执行结果了。 目录 摘要 2 一、实验名称 3 二、实验目的 3 三、实验环境 4 四、木马线程注入技术原理和步骤 4 木马线程注入技术原理 4 木马线程注入技术步骤 5 五、算法及实验步骤 5 程序流程图 5 函数和数据结构分析 7 用到的Windows API 7 主进程的主要函数 11 自定义的数据结构 11 六、调试结果及实验结果 11 程序执行结果及截图 11 七、总结 12 八、参考文献 13 一、实验名称：木马线程注入技术 二、实验目的： 线程注入技术是木马程序和病毒程序在任务管理器中隐藏自身的方法之一，通过了解其原理，可以对如何防范和查杀此类病毒有所掌握。此外，自己开发的一些程序，也可以应用线程注入的原理实现一些必要的功能，或者可以通过线程注入技术实现键盘拦截、DLL注入、监控系统、游戏外挂（修改器）等功能。 三、实验环境： Microsoft Visual C++6.0，Windows XP-32bit 四、木马线程注入技术原理和步骤： 木马线程注入技术原理： 木马程序更好的隐藏方式不进程和服务的方式存在，而是完全溶入系统内核。因此，在设计时，不应把它做成一个应用程序，而是做成一个可以注入应用程序地址空间的线程。该应用程序必须确保绝对安全，这样才能达到彻底隐藏的效果，增加查杀的难度。线程注入式木马采用动态嵌入技术将自己的代码嵌入正在运行的进程中。Windows中每个进程都有自己的私有内存空间，其他进程不得对该私有空间进行操作，但实际上，有很多方法可操作私有空间。动态嵌入技术很多，如窗口 Hook、挂接API、远程线程等，远程线程技术相对简单，只要有基本的进程线程和动态链接库的知识就可以轻松实现。 线程技术是通过在一个远程进程中创建线程的方法进入该进程的内存地址空间。可以通过CreateRemoteThread函数在一个远程进程内创建远程线程，被创建的远程线程可以共享远程进程的地址空间，这样就可以通过进入远程进程的内存地址空间， 木马线程注入技术步骤： 1.打开远程进程，用OpenProcess打开远程进程，获得进程句柄，这是Windows编程的典型风格。2分配代码空间，使用VirtualAllocEx函数在远程进程的堆空间中分配一块区域用于存放寄生线程的代码。3写入线程代码，使用WriteProcessMemory函数把寄生线程的代码写