触类旁通---通过远程注入获得进程的控件数据

关键字:    远程注入



Contents:

  • 1.前言----------你应该知道的东西
  • 2.简单的举例
    • 2.1   做一个整体的结构和思路
    • 2.2    理论实例化
  • 3.让功能变得更丰富
  • 4.如何防止被获取数据?
    •  

  • 5.参考文档




  •  
       
                  在开始之前总会有一个前言,就差不多当作一个PREFACE吧.   
    我们的平台,应该是win2000向上兼容,等等,为了保险起见,(谁也不知道微软会不会 在未来加入安全因素的考虑,就像他在xp-sp2中加入了raw socket的限制),让我们 一一列举: win2000   winXP  win2003.......其他你应该了解的是: 基于 win2000¹内核  与 win98² (及其相关类似系统)内核区别。 

  • 区别说得明白一点就是:     
  • win98是共产主义,你的就是我的,我的就是你的。 
  • win2000是资本主义,每个公民(普通进程)的私有财产神圣不可 侵犯。
          所以在win98下,欲一睹他人财产,完全就是合法的,因为就是我的-___-   相反的,在2000下,我们的行为变成了“偷”。  

                    好了,既然确定了我们必须当一次小偷,究竟是巧取豪夺,还是乔装打扮,抑或打入内部?方法太多了~
         远程注入是我们这里要说的一种,其他的偷窃方法,比如 dll远程加载, api转向,  全局hook,请参阅其他。远程注入的优势在于简便,不必辛苦新建一dll,抑或深入api内部,说来说去无外乎仅用到一个法宝-------------CreateRemoteThread创建远程进程 <==  你可以把他理解为远程注入函数。
                    悼词为止,对不起是到此为止。听了我说了那么多乌烟瘴气的话, 想必已经你已经不胜厌烦。
  •       一言以蔽之,所有的这一切的你必须要知道的只是两点。
  •        1.win2000要获得远程进程的数据必须先伪装成那个进程的一部分(有人会说hook技术不需要伪装。请注意大部分hook中需要dll, 而这个dll就是通过被挂接到每个进程上去,成为了进程的一部分,来实现hook的。 *我说“大部分”,那么必然有“小部分”不需要dll的hook那是基于驱动层的,比如有一种键盘hook。)
  •        2.远程注入------这个方法通过CreateRemoteThread来伪装
        
        win2000¹: 
    如未加申明,指以windows2000为基础核心的一系列系统,比如 windows2000, windows xp, windows 2003

        win98² :    如未加申明,指windows98,windows95等系列的核心

     


     


       TO BE CONTINUED........

     

  • posted on 2004-10-30 08:16  norsd  阅读(186)  评论(0编辑  收藏  举报

    导航