远程线程注入的问题

1. 远程线程注入的问题

线程注入的概念你理解的话，这个问题其实不难解释。
说的最通俗些就是你的记牌器必须知道别人出什么牌。
而识别这一点通过图像识别的话很恶心，实现困难且错误率高，最直接的办法就是知道QQ游戏终端获取你自己和别人的出牌信息。而直接截取通信包需要做解密，巨麻烦的一件事而且这种小程序完全没必要。
但你的QQ游戏终端的线程中肯定有已经解密的数据，说白了就是解密后的数据一定保存在游戏终端线程所属的内存空间的某个位置，所以做个注入识别一下就可以了。
另外多句嘴，很多真的木马都是利用这一点骗过用户的，所以用这种程序朋友请务必谨慎。

2. 怎么防止远程线程注入

流氓软件的技术五花八门，任何一项功能都有可能成为流氓技术，就象武器，用好了可以伸张正义，用歪了却成为罪恶的帮凶。

首先我从win32下的一些流氓着数分析开始:

1。我想做为一个流氓软件，首先要做到的是实时运行，譬如在注册表的run下，在boot下增加它的启动。这应该是比较老的方法，以前 3721好象就是在run下，但是现在一般的人都知道了。

2。作为流氓软件，已经改变了以前一些木马的特性了，他没必要使自己一定要实时启动了，而是需要自己的时候再启动，譬如说打开一个浏览器窗口，这是一般流氓软件的方法，因为他需要连上网才能有利益可图，所以浏览器肯定是流氓软件必定监控的进程。

3。使用BHO插件,这种技术早先特别流行，这是微软提供的接口，本意是让IE浏览器可以扩充功能。每当一个ie浏览器启动的时候，都会调用BHO下必要的插件，流氓软件就是利用这一点。监控了浏览器所有事件与信息。

4。还有最笨的办法就是利用进程快照监控进程，判断有它自己所监控的进程启动，就使用atl得到浏览器指针，从而监控浏览器所有事件与信息。

5，还有一种方法就是使用spi，这是我在网上看到的。spi是分层协议，当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。从而监控用户信息，而且能实时启动。

6。hook方法，hook技术可以所应用太广泛了，特别是监控方面。所以流氓软件也不会错过。首先应用的是api函数hook，譬如windows核心编程里的apihook类，或者微软的detous都可以完成，两者方法其实相同就是修改IDT函数入口地址。api hook钩住createprocess 就可以监控进程，比进程快照性能更强，可以钩住spi下的函数可以完成spi下的所有功能。还有消息hook，鼠标消息，键盘消息，日子消息等等钩子，方法实在太多，都可以利用。

上面列举了一些流氓软件的使用方法，但是流氓软件的一个特性是他无法卸载。所以它又要使用下面的方法了

因为上面的很多方法都可以删除注册表卸载他们，那怎么办呢，那就会时时监控，它会在它的进程，或者线程里监控注册表项，设置一个循环监控，发现没了就继续安装，增加。我想这应该是很多流氓软件的技术。

那现在又出现了一个新问题，那就是流氓软件的进程线程要是结束掉怎么办呢???看西面

7。一种方法就是上面的api hook技术，钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确，使用这种方法，用户或者一般的软件就无法结束它的进程了。

8。还有一种是上面象bho,spi根本没有进程。一般的用户也无法删除他

9。还有一种方法是远程线程，这个技术用的也很普遍，首先是象api hook一样向目标进程里申请一段内存空间，然后使用自己映射过去，然后使用CreateRemoteThread创建远程线程。一般很多流氓软件或者以前的一些木马程序，都是把线程注入到系统进程譬如explorer,service等等，使用用户或者一般的杀毒软件很难处理或者结束。。

10。注册成服务后，也可以简单的隐藏进程。还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。

从我上面列举的方法已经差不多可以形成好几款流氓软件了。但是你别高兴太早，因为这些技术只是应用层的，现在出现了一堆驱动层的反流氓软件工具，譬如超级兔子，完美卸载，木马克星，雅虎助手，还有现在火热的360安全卫士。

这些反流氓软件的方法删除以上流氓软件软件就比较简单。优先于流氓软件启动，截获所有访问流氓软件文件的irp，然后删除注册表项，删除文件。轻松的完成了反流氓任务。

为了针对这些反流氓软件，流氓软件出现了内核层的了。

1。首先是使用文件过滤驱动，保护自己的文件，流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp，从而有效的保护了自己的文件。

2。内核级hook技术，可hook住所有公开的或者未公开的内核函数，譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。

3。驱动层下的流氓软件还使用内核级hook技术，替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表

4。利用内核级hook技术还有隐藏进程，或者监控进程，重起进程。

对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法操作，反流氓软件工具的删除irp会被拦截，或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后，但是无法保证能完全的删除流氓软件，从而出现了一些更顶级的反流氓软件，他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务，但是根据我了解，这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法，优先于驱动流氓软件启动，创建一个驱动流氓软件同设备名的设备，，使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面，就是简单的ndis就能优先于360启动。如果前面的组，那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。

流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢?rootkit,我看很多对于rootkit有误解，很多都认为hook也是rootkit.呵呵，rootkit说白了就是嵌入操作系统文件。你不是发irp到文件系统吗?，可是我把文件系统给改了，不过rootkit根据我的观察unix或者linex下比较多，在windows下还是比较少的，因为需要使用汇编了，哎太晚了，不写了，我想如果流氓软件做到这个技术程度，它也没必要做流氓了，直接做操作系统得了。

3. 远程线程注入的危害

注入的动态链接库，通常为恶意代码，例如木马或病毒。（当然，注入的也可以是善意代码，例如调试器，也是利用远程线程注入技术，来调试程序。）通过远程线程注入，来使得木马运行在目标进程中，随意访问目标进程的内存空间，最后这个动态链接库里的代码就成为其他进程的一部分来实现了自身的隐藏执行，通过调用“hook”机制，监视用户的输入输出操作，截取有用的资料等操作。这种木马的实际执行体是一个dll文件，由于Windows系统自身就包含着大量的dll文件，谁也无法一眼看出哪个dll文件不是系统自带的，所以这种木马的隐蔽性又提高了一级，而且它的执行方式也更加隐蔽，这是由Windows系统自身特性决定的，Windows自身就是大量使用dll的系统，许多dll文件在启动时便被相关的应用程序加载进内存里执行了，可是有谁在进程里直接看到过某个dll在运行的?因为系统是把dll视为一种模块性质的执行体来调用的，它内部只包含了一堆以函数形式输出的模块，也就是说每个dll都需要由一个用到它的某个函数的exe来加载，当dll里的函数执行完毕后就会返回一个运行结果给调用它的exe，然后dll进程退出内存结束这次执行过程，这就是标准的dll运行周期，而采用了“线程注射”技术的dll则不是这样，它们自身虽然也是导出函数，但是它们的代码是具备执行逻辑的，这种模块就像一个普通exe，只是它不能直接由自身启动，而是需要有一个特殊作用的程序(称为加载者)产生的进程把这个dll的主体函数载入内存中执行，从而让它成为一个运行中的木马程序。

4. 远程线程注入怎样防范

你担心自己的进程被注入线程，那么由两种方法可以用来防范：
1
监测。简单说，就是用另外一个程序来监测你的进程，采用快照的办法枚举它的所有模块，一旦发现有了不应当有的模块，立刻终止这个非法模块。
2
自我保护。可以通过设置本进程的DACL，阻止任何用户(升了级的系统管理员除外)在本进程中执行CreateRemoteThread这个API，或者干脆拒绝一切形式的OpenProcess访问。

5. 远程线程注入这游戏还能玩吗

能。

游戏是所有哺乳类动物，特别是灵长类动物学习生存的第一步。它是一种基于物质需求满足之上的，在一些特定时间，空间范围内遵循某种特定规则的，追求精神世界需求满足的社会行为方式，但同时这种行为方式也是哺乳类动物或者灵长类动物所需的一种降压减排的方式，不管是在出生幼年期，或者发育期，成熟期都会需要的一种行为方式。

合理适度的游戏允许人类在模拟环境下挑战和克服障碍，可以帮助人类开发智力，锻炼思维和反应能力，训练技能，培养规则意识等，戏本义为古时祭祀或进餐时，有人头戴虎头面具，持戈舞蹈。后引申为与娱乐相关的行为，游义为交游，来往，如请息交以绝游。故游戏一词可解释为互动性的娱乐行为。
游戏有智力游戏和活动性游戏之分，前者如下棋，积木，麻将，打牌等，后者如追逐，接力及利用球，棒，绳等器材进行的活动，多为集体活动，并有情节和规则，具有竞赛性。当前的日常用语中的游戏多指各种平台上的电子游戏。电子游戏有单机游戏和网络游戏。