木马技术披露

键入了，真是“家贼难防”啊！ 　3.如何插入进程
　　(1)使用注册表插入dll
　　早期的进程插入式木马的伎俩，通过修改注册表中的[hkey_local_machine\software\microsoft\Windows NT\currentversion\Windows\appinit_dlls]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。
　　(2)使用挂钩(hook)插入dll
　　比较高级和隐蔽的方式，通过系统的挂钩机制(即“hook”，类似于DOS时代的“中断”)来插入进程(一些盗qq木马、键盘记录木马以hook方式插入到其他进程中“偷鸡摸狗”)，需要调用setWindowshookex函数(也是一个win32 api函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的win32编程水平。
你知道吗——什么是api
　　Windows中提供各种功能实现的接口称为win32 api(application programming interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的api(文件读写就要调用文件相关的api)发出调用请求，然后api根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序。 <(3)使用远程线程函数(createremotethread)插入dll
　　在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统api函数来向另一个进程中创建线程(插入dll)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。
　　木马将自身作为dll插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的dll模块就会现形了。
　　不要相信自己的眼睛:恐怖的进程“蒸发”
　　严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！
　　它通过hook技术对系统中所有程序的进程检测相关api的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了enumprocesses等进程相关的api函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。
　　而木马由于事先对该api函数进行了hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用enumprocesses函数时(此时的api函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了dvd，你在不知不觉中就被欺骗了。
　　所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。
　　你知道吗——什么是hook
　　hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定api函数的调用事件)进行hook后，一旦发生已hook的事件，对该事件进行hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。
　　毫无踪迹:全方位立体隐藏
　　利用刚才介绍的hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将hook技术应用在文件相关的api函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。
　　跟杀毒软件对着干:反杀毒软件外壳 　木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为