NtCreateThread投递APC驱动注入DLL

计算机防病毒知识题

病毒复习： 一、选择题（本题共30分） 1、恶意代码是( )。 (A)被损坏的程序 (B)硬件故障 (C)一段特制的程序或代码片段 (D)芯片霉变 2、恶意代码的危害主要造成( ) (A)磁盘损坏 (B)计算机用户的伤害 (C)CPU的损坏 (D)程序和数据的破坏 3、新买回来的未格式化的软盘( ) (A)可能会有恶意代码 (B)与带恶意代码的软盘放在一起会被感染 (C) 一定没有恶意代码 (D) 一定有恶意代码 4、僵尸网络的最大危害是，黑客可以利用该网络发起（）。 (A)入侵攻击 (B)DDOS攻击 (C)网络监听 (D)心理攻击 5、个人防火墙与边际防火墙的最根本区别是（）。 (A) 个人防火墙可以控制端口 (B) 个人防火墙可以控制协议 (C) 个人防火墙可以控制应用程序访问策略 (D) 个人防火墙是软件产品，而边际防火墙是硬件产品 6、能够感染EXE，COM文件的病毒属于( )。 (A) 网络型病毒 (B) 蠕虫型病毒 (C) 文件型病毒 (D) 系统引导型病毒 7、下列恶意代码那个传统计算机病毒不是蠕虫( )。 (A) 冲击波 (B) 振荡波 (C) CIH (D) 尼姆达 8、Socket服务器端正确的操作顺序为( )。 (A) bind, accept, listen (B) bind, listen, accept (C) listen, accept (D) listen, read, accept 9、著名特洛伊木马“网络神偷”采用的是( )隐藏技术。 (A) 反弹式木马技术(B) 远程线程插入技术 (C) ICMP协议技术 (D) 远程代码插入技术 10、下列( )不是常用程序的默认端口。 (A) 8 0 (B) 8 0 8 0 (C) 2 3 (D) 2 1 11、第一个真正意义的宏病毒起源于( )应用程序。 (A) Word (B) Lotus 1-2-3 (C) Excel (D) PowerPoint 12、第一个跨Windows和Linux平台的恶意代码是( )。 (A) Lion (B) W32.Winux (C) Bliss (D)Staog 13、 Linux系统下的欺骗库函数病毒使用了Linux系统下的环境变量，该环境变量是( )。

远程线程注入时遇到的问题

远程线程注入时遇到的问题 这是我在研究程序自我删除（关于程序自我删除相关的技术我会在之后的文章中详细介绍）技术中碰到的问题, 暂时没有找到原因及解决办法. 暂且记录下来方便日后查阅、分析. CreateRemoteThread经常在木马病毒中使用, 最常见的做法就是把LoadLibrary当作线程函数在目标进程中动态加载自己的Dll, 这种方法比通过HOOK加载Dll的优点在于不需要目标进程依赖于User32.dll. 但是在实际使用过程中确会遇到不少问题. 除了使用LoadLibrary作为线程函数我们可以使用自定义的线程函数, 当然前提是这个线程函数的二进制代码已经正确无误地插入到目标进程. 具体方法这里不便展开. AdjustTokenPrivileges: 首先碰到的问题是关于进程权限问题, 确切的来说也不是问题, 只是在开发过程中遇到的比较奇怪的现象, 仅仅记录下来方便日后研究. 在此之前一直没有搞清楚提高进程权限是什么意思, 难道是提高系统级? 当然不可能, 微软不傻. 经过一些测试我有了一些发现. 代码如下: [c-sharp]view plaincopy

1.BOOL EnableDebugPrivilege() 2.{ 3. HANDLE hToken; 4.if(OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToke n) != TRUE) 5. { 6.return FALSE; 7. } 8. 9. LUID Luid; 10.if(LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &Luid) != TRUE) 11. { 12.return FALSE; 13. } 14. 15. TOKEN_PRIVILEGES tp; 16. tp.PrivilegeCount = 1; 17. tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 18. tp.Privileges[0].Luid = Luid; 19. 20.if(AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), N ULL, NULL) != TRUE) 21. { 22.return FALSE; 23. } 24. 25.return TRUE; 26.} 测试结果如下: 1. 使用该函数->枚举进程. 结果显示枚举到进程67个, 但是任务管理器显示当前进程73个. 未解. 2. 不使用该函数->OpenProcess打开系统进程失败. 这里有两个例外:

第二章进程管理答案

第二章进程管理 一、单项选择题 1、顺序程序和并发程序的执行相比，（）。 A.基本相同 B. 有点不同 C.并发程序执行总体上执行时间快 D.顺序程序执行总体上执行时间快 2、在单一处理机上，将执行时间有重叠的几个程序称为（）。 A.顺序程序 B. 多道程序 C.并发程序 D. 并行程序 3、进程和程序的本质区别是（）。 A.存储在内存和外存 B.顺序和非顺序执行机器指令 C.分时使用和独占使用计算机资源 D.动态和静态特征 4、在下列特性中，不是进程的特性的是（）。 A. 异步性 B. 并发性 C. 静态性 D. 动态性 5 A 6 A. 7 A. 8 A. 9 A. 10 A. 11 A. 12。 A. 13 A. 14 A. 15 A. 16、在操作系统中，对信号量S的P原语操作定义中，使进程进入相应阻塞队列等待的条件是（）。 A. S>0 B. S=0 C. S<0 D. S≠0 17、信号量S的初值为8，在S上执行了10次P操作，6次V操作后，S的值为（）。 A．10 B．8 C．6 D．4 18、在进程通信中，使用信箱方式交换信息的是（）。 A．低级通信B．高级通信C．共享存储器通信D．管道通信 19．( )必定会引起进程切换。A．一个进程被创建后进入就绪态B．一个进程从运行态变成等待态c．一个进程从运行态变成就绪态 D．一个进程从等待态变成就绪态 20、操作系统使用( )机制使计算机系统能实现进程并发执行，保证系统正常工作。 A．中断B．查询c．同步D互斥 21.对于一个单处理器系统来说,允许若干进程同时执行，轮流占用处理器．称它们为（)的。 A.顺序执行 B.同时执行c.并行执行D.并发执行

Windows文件读写监控系统

Windows文件读写监控系统 摘要：21世纪，人类进入了一个全新的时代，一个以计算机技术为代表的信息时代。人们的生活节奏随着信息技术的快捷方便而变快。在这次信息革命中谁拥有便捷的信息，谁就掌握了时代的命脉，占据技术的颠峰。在PC领域，称霸桌面的Windows系统的垄断和不公开源代码，对我们研究更是带来很大困难。本程序的全称为Windows下的文件监视程序，是一个工具软件。通过本程序的分析和设计，为创建更大的软件工程提供了一定的帮助。在逆向工程中，可以利用本程序，分析进程的文件读写情况，对工程的开发提供了一定的帮助。本程序采用VC开发环境，利用DLL挂接，拦截API等技术实现了对目标进程的文件读写监视 关键词：文件监视程序工具软件DLL挂接拦截API 1.引言 1.1课题背景 以计算机为代表的信息技术在近几年在全世界得到了飞速的发展，在企事业单位计算机已经成为主要的工作平台，在个人的日常生活中，计算机已经非常普及，就像普通家电那样。计算机技术的运用可以帮助人们减轻负担，提高工作效率。然而我们国家计算机研究起步相对较晚，特别在PC领域，微软的windows 平台垄断了我们国家的绝大部分，再加上它的源代码的不公开，以及众多版本，给我国的平台研究更是带来了很大的困难。 现在我们国家已经有一些公司和集体在研究操作系统。本程序是一个工具软件,它可以做为很多软件项目的工具，可以在项目开发前期进行简单的构造。在设计本程序的时候，运用了很多热门技术，比如DLL 挂接和远线程注射等，在很多杀毒软件和防火墙软件中都有它们的身影。 1.2系统开发的目的和意义 本程序作为一个工具软件，之所以设计它，主要一方面出于学习研究一些热门技术，以及利用这些技术能到达一个什么效果。它用到的技术，比如DLL挂接，API拦截，这些技术在很多杀毒软件等中运用的很多。比如卡巴斯基，它在进程读写时进行拦截，获得读写文件的数据，再利用其杀毒引擎进行查杀病毒。上面提到的拦截实际上是对文件读写API（比如ReadFile,WriteFile等）。很多游戏外挂利用远线程注射，将木马DLL插入游戏进程空间内，一旦插入成功，它就能破坏进程的正常运行，甚至有的对游戏进程的数据区进行搜索内帐号密码等信息，达到窃取帐号等目的。类似这些技术用处很大，几乎所有的市面上知名的软件都有用到。 另一方面是其实用性。本小程序能拦截目标进程对文件的操作，并向用户报告，并且可以设置对目标进程对文件只读，对一些重要数据可以起到一定的仿删除作用。比如一些病毒就专门破坏移动存储设备内的文件，通过对对其设置只读就可以防止这类事情的发生。

高级内存代码注入技术

高级内存代码注入技术 1、概述 1.1 PE注入 我们知道进程注入的方法分类主要有以下几种： DLL注入利用注册表注入利用Windows Hooks注入利用远程线程注入利用特洛伊DLL注入不带DLL的注入直接将代码写入目标进程，并启动远程线程 本文中的技术不同于以往的DLL注入和shellcode注入。通过此方法可将一个进程的完整镜像完全注入到另外一个进程的内存空间中，从而在一个进程空间中包含了两套不同的代码。与DLL注入相比，PE注入的主要优势是不需要很多文件，只需要MAIN.EXE注入到其他进程并唤起自身代码即可。 1.2 影响 利用该方法可以达到一下多个效果： 创建Socket及网络访问访问文件系统创建线程访问系统库访问普通运行时库远控 键盘记录 2、技术原理 2.1 进程代码注入 将代码写入进程的方法较简单，Windows提供了进程内存读取和写入的系统API。首先需要获取某个进程的PID号，然后打开该进程，可以利用Kernel32链接库中的OpenProcess函数实现。

注：远程打开进程是受限的，从Vista起，就存在了类似UAC之类的防护措施。其中主要的进程内存保护机制是Mandatory Integrity Control（MIC）。MIC是基于“完整性级别”的对象访问控制保护方法。完整性级别包括如下四个级别： 低级别：被限制访问大部分系统资源（如IE）；中级别：开启UAC时非特权用户和管理员组用户启动的进程；高级别：以管理员权限启动的进程系统级别：SYSTEM用户启动的进程，如系统服务。 根据以上完整性级别要求，我们的进程注入将只允许注入低级别或同等级别的进程。 本文将利用explorer.exe来举例，远程打开进程后利用VirtualAllocEx函数申请一段可保存本进程镜像的内存段，为了计算需要的内存大小我们可以通过读取PE头信息来获取。 ? 1 2 3 4 5 6 7 8 9 10 11 /*获取进程模块镜像*/ module = GetModuleHandle(NULL); /*获取PE头信息*/ PIMAGE_NT_HEADERS headers = (PIMAGE_NT_HEADERS)((LPBYTE)module +((PIMAGE_DOS_HEA /*获取代码长度*/ DWORD moduleSize = headers->OptionalHeader.SizeOfImage; 2.2 获取二进制地址 代码注入中遇到的一个常见问题是模块的基地址会不断变化的问题。通常情况下，当进程启动时，MAIN函数的基地址是0X00400000。当我们将代码注入到其他进程中时，新的基地址将产生在虚拟地址中不可预测的位置。

操作系统第二章进程和线程复习题

第二章练习题 一、单项选择题 1．某进程在运行过程中需要等待从磁盘上读入数据，此时该进程的状态将（ C ）。 A. 从就绪变为运行； B．从运行变为就绪； C．从运行变为阻塞； D．从阻塞变为就绪 2．进程控制块是描述进程状态和特性的数据结构，一个进程（ D ）。 A.可以有多个进程控制块； B.可以和其他进程共用一个进程控制块； C.可以没有进程控制块； D.只能有惟一的进程控制块。 3．临界区是指并发进程中访问共享变量的（D）段。 A、管理信息 B、信息存储 C、数 据 D、程序 4. 当__ B__时，进程从执行状态转变为就绪状态。 A. 进程被调度程序选中 B. 时间片到 C. 等待某一事件 D. 等待的事件发生 5. 信箱通信是一种（ B ）通信方式。 A. 直接通信 B. 高级通信 C. 低级通信 D. 信号量 6. 原语是（B）。

A、一条机器指令 B、若干条机器指令组成 C、一条特定指令 D、中途能打断的指令 7. 进程和程序的一个本质区别是（A）。 A．前者为动态的，后者为静态的； B．前者存储在内存，后者存储在外存； C．前者在一个文件中，后者在多个文件中； D．前者分时使用CPU,后者独占CPU。 8. 任何两个并发进程之间存在着（D）的关系。 A．各自完全独立B．拥有共享变量 C．必须互斥D．可能相互制约 9. 进程从运行态变为等待态可能由于（B ）。 A．执行了V操作 B．执行了P操作 C．时间片用完 D．有高优先级进程就绪 10. 用PV操作管理互斥使用的资源时，信号量的初值应定义为（B）。 A．任意整数 B．1 C．0 D．-1 11. 现有n个具有相关临界区的并发进程，如果某进程调用P操作后变为等待状态，则调用P操作时信号量的值必定为（A）。 A．≤0 B．1 C．n-1 D．n

SQL Server 返回最后插入记录的自动编号ID

SQL Server 返回最后插入记录的自动编号ID 最近在开发项目的过程中遇到这么一个问题，就是在插入一条记录的后立即获取其在数据库中自增的ID，以便处理相关联的数据，怎么做？在sql server 2000中可以这样做，有几种方式。详细请看下面的讲解与对比。 一、要获取此ID,最简单的方法就是:(以下举一简单实用的例子) --创建数据库和表 create database MyDataBase use MyDataBase create table mytable ( id int identity(1,1), name varchar(20) ) --执行这个SQL,就能查出来刚插入记录对应的自增列的值 insert into mytable values('李四') select @@identity 二、三种方式的比较 SQL Server 2000中，有三个比较类似的功能：他们分别是：SCOPE_IDENTITY、IDENT_CURRENT 和@@IDENTITY，它们都返回插入到IDENTITY 列中的值。IDENT_CURRENT 返回为任何会话和任何作用域中的特定表最后生成的标识值。IDENT_CURRENT 不受作用域和会话的限制，而受限于指定的表。IDENT_CURRENT 返回为任何会话和作用域中的特定表所生成的值。 @@IDENTITY 返回为当前会话的所有作用域中的任何表最后生成的标识值。 SCOPE_IDENTITY 返回为当前会话和当前作用域中的任何表最后生成的标识值SCOPE_IDENTITY 和@@IDENTITY 返回在当前会话中的任何表内所生成的最后一个标识值。但是，SCOPE_IDENTITY 只返回插入到当前作用域中的值；@@IDENTITY 不受限于特定的作用域。 例如，有两个表T1 和T2，在T1 上定义了一个INSERT 触发器。当将某行插入T1 时，触发器被激发，并在T2 中插入一行。此例说明了两个作用域：一个是在T1 上的插入，另一个是作为触发器的结果在T2 上的插入。 假设T1 和T2 都有IDENTITY 列，@@IDENTITY 和SCOPE_IDENTITY 将在T1 上的INSERT 语句的最后返回不同的值。 @@IDENTITY 返回插入到当前会话中任何作用域内的最后一个IDENTITY 列值，该值是插入T2 中的值。

(完整版)操作系统第二章课后答案

第二章进程管理 2. 试画出下面4条语句的前趋图: S2: b:=z+1; S3: c:=a-b; S4: w:=c+1; 3. 程序在并发执行时，由于它们共享系统资源，以及为完成同一项任务而相互合作， 致使在这些并发执行的进程之间，形成了相互制约的关系，从而也就使得进程在执行期间出现间断性。 4. 程序并发执行时为什么会失去封闭性和可再现性？ 因为程序并发执行时，是多个程序共享系统中的各种资源，因而这些资源的状态是 由多个程序来改变，致使程序的运行失去了封闭性。而程序一旦失去了封闭性也会导致其再失去可再现性。 5. 在操作系统中为什么要引入进程概念？它会产生什么样的影响? 为了使程序在多道程序环境下能并发执行，并能对并发执行的程序加以控制和描述，从而在操作系统中引入了进程概念。 影响: 使程序的并发执行得以实行。 6. 试从动态性，并发性和独立性上比较进程和程序? a. 动态性是进程最基本的特性，可表现为由创建而产生，由调度而执行，因得不到资源 而暂停执行，以及由撤销而消亡，因而进程由一定的生命期；而程序只是一组有序指令的集合，是静态实体。 b. 并发性是进程的重要特征，同时也是OS的重要特征。引入进程的目的正是为了使其 程序能和其它建立了进程的程序并发执行，而程序本身是不能并发执行的。 c. 独立性是指进程实体是一个能独立运行的基本单位，同时也是系统中独立获得资源和 独立调度的基本单位。而对于未建立任何进程的程序，都不能作为一个独立的单位来运行。 7. 试说明PCB的作用?为什么说PCB是进程存在的唯一标志? a. PCB是进程实体的一部分，是操作系统中最重要的记录型数据结构。PCB中记录了操 作系统所需的用于描述进程情况及控制进程运行所需的全部信息。因而它的作用是使一个在多道程序环境下不能独立运行的程序(含数据)，成为一个能独立运行的基本单位，一个能和其它进程并发执行的进程。 b. 在进程的整个生命周期中，系统总是通过其PCB对进程进行控制，系统是根据进程 的PCB而不是任何别的什么而感知到该进程的存在的，所以说，PCB是进程存在的唯一标志。 8. 试说明进程在三个基本状态之间转换的典型原因. a. 处于就绪状态的进程，当进程调度程序为之分配了处理机后，该进程便由就绪状态变 为执行状态。 b. 当前进程因发生某事件而无法执行，如访问已被占用的临界资源，就会使进程由执行 状态转变为阻塞状态。 c. 当前进程因时间片用完而被暂停执行，该进程便由执行状态转变为就绪状态。 9. 为什么要引入挂起状态？该状态有哪些性质？ a. 引入挂起状态主要是出于4种需要（即引起挂起的原因）: 终端用户的请求，父进程 请求，负荷调节的需要，操作系统的需要。

计算机三级信息安全技术第四套

TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。 TACACS使用固定的密码进行认证，而TACACS+允许用户使用动态密码，这样可以提供更强大的保护。 Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法，这个密钥交换协议/算法只能用于密钥的交换，而不能进行消息的加密和解密。ElGamal算法，是一种较为常见的加密算法，它是基于1984年提出的公钥密码体制和椭圆曲线加密体系。ECC是"Error Checking and Correcting"的简写，中文名称是"错误检查和纠正"。ECC是一种能够实现"错误检查和纠正"的技术。 如果密钥丢失或其它原因在密钥未过期之前，需要将它从正常运行使用的集合中除去，称为密钥的（）。A) 销毁 B) 撤销C) 过期D) 更新 密钥的替换与更新：当密钥已泄露、被破坏或将要过期时，就要产生新的密钥来替换或更新旧的密钥。 密钥撤销：如果密钥丢失或因其他原因在密钥未过期之前，需要将它从正常运行使用的集合中除去。 密钥销毁：不用的就密钥就必须销毁。 下列关于消息认证的说法中，错误的是（）。 A) 对称密码既可提供保密性又可提供认证 B) 公钥密码既可提供认证又可提供签名 C) 消息认证码是一种认证技术，它利用密钥来生成一个固定长度的数据块，并将该数据块附加在消息之后 D) 消息认证码既可提供认证又可提供保密性 消息认证码是一种认证技术，它利用密钥来生成一个固定长度的数据块，并将该数据块附加在消息之后。消息认证码只提供认证。 消息加密分为对称加密和非对称加密。传统密码既可以提供认证又可提供保密性。利用公钥进行加密可提供认证和签名。 MAC中消息是以明文形式发送所以不提供保密性，但是可以在使用过MAC算法之后对报文加密或在使用MAC之前对消息加密来获取保密性，由于收发双方共享密钥，因此MAC不能提供数字签名功能。 防范计算机系统和资源被未授权访问，采取的第一道防线是（）。 A) 访问控制B) 授权C) 审计D) 加密 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。下列选项中，进行简单的用户名/密码认证，且用户只需要一个接受或拒绝即可进行访问（如在互联网服务提供商ISP 中）的是（）。 A) RADIUS B) TACACS C) Diameter D) RBAC RADIUS是一种C/S结构的协议，它的客户端最初就是NAS 服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP 、CHAP 或者Unix登录认证等多种方式。由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL 上网、小区宽带上网、IP电话、VPDN （Virtual Private Dialup Networks，基于拨号用户 的虚拟专用拨号网业务）、移动电话预付费等业务。故选择A选项。 进程是资源分配的基本单位。所有与该进程有关的资源，都被记录在进程控制块PCB中。以表示该进程拥有这些资源或正在使用它们。与进程相对应，线程与资源分配无关，它属于某一个进程，并与进程内的其他线程一起共享进程的资源。通常在一个进程中可以包含若干个线程，它们可以利用进程所拥有的资源。在引入线程的操作系统中，通常都是把进程作为分配资源的基本单位，而把线程作为独立运行和独立调度的基本单位。 下列关于保护环的说法中，错误的是（A）。 A) 3环中的主体不能直接访问1环中的客体，1环中的主体同样不能直接访问3环中的客体 B) 保护环对工作在环内的进程能够访问什么、能够执行什么命令提出了严格的界线和定义 C) 保护环在主体和客体之间提供了一个中间层，当一个主体试图访问一个客体时，可以用它来进行访问控制 D) 在内环中执行的进程往往处于内核模式，在外环中工作的进程则处于用户模式 保护环对工作在环内的进程能够访问什么、能够执行什么命令提出了严格的界线和定义。保护环在主体和客体

数据安全(DLP)的实现

随着越来越多的“艳照门”、美国的“照片门”事件的发生，我开始关注起加密软件来。虽然我不是这些事件里的主角，但电脑上面还是有很多私人的重要资料不想被别人看到。小编上网找了很多资料，也试用了许多不同的加密软件,开始对现今流行的几种加密软件有一定的了解。 目前在关于加密软件这一块存在不少问题，有很多人不知道也不了解加密软件。针对这些问题的解决方案，小编概括为以下几种情况:，希望可以对你有所帮助。 一、企业重要资料流散在各电脑内 风险分析：这种情况造成资料泄密机会多，管理不方便。 泄密途径：员工带走自己电脑和其他员工共享文件里面的东西。 解决方案：采用普通文件加密模型即可 二、企业核心资料存在服务器 风险分析：这种情况造成资料泄密的机会少，但由于资料的集中，泄密危害更大。 泄密途径：有机会接触服务器、或有资格调用整个服务器文件的人。 解决方案：可以采用智能加密模型，员工正常调用核心资料，一旦非法传出企业，文件无法打开。优势在于既保护核心资料，又不增加人力成本。 三、部门复杂的企业 风险分析：在部门结构复杂的企业里面，因为部门间文件交流的复杂性,增加了造成泄密的机会。 泄密途径：部门中间需要传阅的重要文件无法控制其流向，增加了流失机会。 解决方案：利用文档报表修改加密的加密模型配合基于PKI体系的权限控制，可以设置部门间的只读、打印等权限控制，解决文件在部门间流失的威胁。 针对以上问题，现在大部分公司的控制举例如下： 分别在财务部、技术部安装客户端，彼此的文件互不相通。对于上级主管，比如老板，则可以同时打开双方的文件。销售部加密Office文件，技术部则仅图纸加密设计文件。但经常需要将财务部的Office文件发送给技术部查看。技术部设计的产品需要经常和车间及销售部的人员交流，但不希望三个部门之间互通，同时在图纸加密交于其他部门的时候，能够精通到某一个人，并且限制他不能修改打印文件。 四、需要与管理流程结合的企业 安全方面的管理软件，为了工作的便利性可以与企业的管理系统做相应的结合。结合方案具体请与相关技术人员沟通。 根据笔者多年的文件加密实施经验，针对目前最优秀的文件加密必备的技术，总结出以下结论:

木马的隐藏方式

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。有人说，既然木马这么厉害，那我离它远一点不就可以了！然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的！哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢！那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！ 1、集成到程序中木马的工作原理，木马查杀。-电脑维修知识网 其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 2、隐藏在配置文件中木马的工作原理，木马查杀。-电脑维修知识网 木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 3、潜伏在Win.ini中木马的工作原理，木马查杀。-电脑维修知识网 木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了，这个file.exe很可能是木马哦。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 4、伪装在普通文件中木马的工作原理，木马查杀。-电脑维修知识网 这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图

向其他进程注入代码的三种方法

向其他进程注入代码的三种方法 向其他进程注入代码的三种方法 本文章翻译自Robet Kuster的Three Ways to Inject Your Code into Another Process 一文，原版地址见下面。本文章版权归原作者所有。 原版地址：https://www.wendangku.net/doc/b11867035.html,/threa ... 152&msg=1025152 下载整个压缩包 下载WinSpy 作者：Robert Kuster 翻译：袁晓辉(https://www.wendangku.net/doc/b11867035.html, hyzs@https://www.wendangku.net/doc/b11867035.html,) 摘要：如何向其他线程的地址空间中注入代码并在这个线程的上下文中执行之。 目录： ●导言 ●Windows 钩子（Hooks） ●CreateRemoteThread 和LoadLibrary 技术 ○进程间通讯 ●CreateRemoteThread 和WriteProcessmemory 技术 ○如何使用该技术子类（SubClass）其他进程中的控件 ○什么情况下适合使用该技术 ●写在最后的话 ●附录 ●参考

●文章历史 导言： 我们在Code project（https://www.wendangku.net/doc/b11867035.html,）上可以找到许多密码间谍程序（译者注：那些可以看到别的程序中密码框内容的软件），他们都依赖于Windows钩子技术。要实现这个还有其他的方法吗？有！但是，首先，让我们简单回顾一下我们要实现的目标，以便你能弄清楚我在说什么。 要读取一个控件的内容，不管它是否属于你自己的程序，一般来说需要发送 WM_GETTEXT 消息到那个控件。这对edit控件也有效，但是有一种情况例外。如果这个edit控件属于其他进程并且具有ES_PASSWORD 风格的话，这种方法就不会成功。只有“拥有（OWNS）”这个密码控件的进程才可以用WM_GETTEXT 取得它的内容。所以，我们的问题就是：如何让下面这句代码在其他进程的地址空间中运行起来：::SendMessage( hPwdEdit, WM_GETTEXT, nMaxChars, psBuffer ); 一般来说，这个问题有三种可能的解决方案： 1. 把你的代码放到一个DLL中；然后用windows 钩子把它映射到远程进程。 2. 把你的代码放到一个DLL中；然后用CreateRemoteThread 和LoadLibrary 把它映射到远程进程。 3. 不用DLL，直接复制你的代码到远程进程（使用WriteProcessMemory）并且用CreateRemoteThread执行之。在这里有详细的说明： Ⅰ. Windows 钩子 示例程序：HookSpy 和HookInjEx Windows钩子的主要作用就是监视某个线程的消息流动。一般可分为： 1．局部钩子，只监视你自己进程中某个线程的消息流动。 2．远程钩子，又可以分为：

木马常见植入方法大曝光

木马常见植入方法大曝光 (2005-06-27 10:20:30) 伴随着Windows操作系统核心技术的日益成熟，“木马植入技术”也得到发展，使得潜入到系统的木马越来越隐蔽 ，对网络安全的危害性将越来越大。所以，全面了解木马植入的方法和技术，有 Windows下基于远程线程插入的木马植入技术。 1利用E-MAIL 控制端将木马程序以附件的形式夹在电子邮件中发送出去,收信人只要打开附件,系统就会感染木马。 2软件下载 一般的木马执行文件非常小，大小也就是几K到几十K。如果把木马捆绑到其他正常文件上，是很难被发现的。一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 3利用共享和Autorun文件 学校或单位的局域网里为了学习和工作方便，会将许多硬盘或文件夹共享出来，有时甚至不加密码。更有甚者，竟将共享设为可写。 大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf 文件，这个文件可以决定是否自动运行程序。同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。Autorun.inf文件一般是如下格式（“//”后面是加的注释，使用时去掉）： [AutoRun]//这是AutoRun部分开始，必须输入 Icon＝E：＼sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标 Open＝E：＼sexual.exe//指定要运行程序的路径和名称，在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序，那我们的电脑就危险了。 将sexual.ico和sexual.exe文件以及Autorun.inf放在E盘根目录，然后进入“我的电脑”，你会发现E盘的磁盘图标变了，双击进入E盘，还会自动执行E盘下的sexual.exe 文件！ 对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf

远程线程嵌入进程技术实现DLL木马

远程线程嵌入进程技术实现DLL木马 设计任务： 了解木马的隐藏技术； 熟悉采用动态嵌入技术的DLL木马； 设计内容： 实现利用远程线程技术嵌入进程，生成为RmtDll.exe 文件； 启动一个木马DLL，用于返回所在进程的PID。当使用RmtDll.exe 程序将这个TestDll嵌入目标进程（Explorer.exe）时，该测试DLL将弹出显示一串数字的确认对话框，TestDll.dll已经在目标进程内正确运行了。 设计原理： （1）DLL木马的隐蔽性： DLL是Dynamic Link Library（动态链接库）的缩写，DLL文件是Windows 的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。 因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL，假设我们编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马DLL，如果那个进程是可信进程，（例如资源管理器Explorer.exe，没人会怀疑它是木马吧？）那么我们编写的DLL作为那个进程的一部分，也将成为被信赖的一员而为所欲为。 （2）使用Rundll32的方法进行进程隐藏： 运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，其中Rundll是16位而Rundll32是32位的（分别调用16位和32位的DLL文件），Rundll32的使用方法如下： Rundll32.exe DllFileName FuncName 例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc就可以执行MyFunc 函数的功能。 如何运行DLL文件和木马进程的隐藏有什么关系呢？假设我们在MyFunc函数中实现了木马的功能，那么我们就可以通过Rundll32来运行这个木马了。在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是木马文件，这样也算是木马的一种简易欺骗和自我保护方法。 这种方法进行进程隐藏是简易的，非常容易被识破。比较高级的方法是使用特洛伊DLL。 （3）特洛伊DLL的工作原理： 替换常用的DLL文件，将正常的调用转发给原DLL，截获并处理特定的消息。例如 我们知道WINDOWS的Socket 1.x的函数都是存放在wsock32.dll中的，那么我们自己写一个wsock32.dll文件，替换掉原先的wsock32.dll（将原先的DLL文件重命名为wsockold.dll）我们的wsock32.dll只做两件事，一是如果遇到不认识的调用，就直接转发给wsockold.dll（使用函数转发器forward）；二是遇到特殊的请求（事先约定的）就解码并处理。这样理论

《操作系统》习题集：第2章 进程与线程(第1部分)

第2章进程与线程-习题集 一、选择题 1.以下关于进程的描述中，正确的是（）。【＊，联考】 A. 进程获得CPU运行是通过调度得到的 B. 优先级是进程调度的重要依据，一旦确定就不能改变 C. 在单CPU的系统中，任意时刻都有一个进程处于运行状态 D. 进程申请CPU得不到满足时，其状态变为阻塞 2.一个进程是（）。【＊，联考】 A. 由处理机执行的一个程序 B. 一个独立的程序+数据集 C. PCB结构、程序和数据的组合 D. 一个独立的程序 3.并发进程指的是（）。【＊，★，联考】 A. 可并行执行的进程 B. 可同一时刻执行的进程 C. 可同时执行的进程 D. 不可中断的进程 4.当一个进程处于这样的状态时，（），称为阻塞态。【＊，★，联考】 A. 它正等着输入一批数据 B. 它正等着进程调度 C. 它正等着分给它一个时间片 D. 它正等进入内存 5.某个运行中的进程要申请打印机，它将变为（）。【＊，联考】 A. 就绪态 B. 阻塞态 C. 创建态 D. 撤销态 6.以下进程状态转变中，（）转变是不可能发生的。【＊＊，★，联考】 A. 运行→就绪 B. 运行→阻塞 C. 阻塞→运行 D. 阻塞→就绪 7.当（）时，进程从执行状态转变为就绪状态。【＊，联考】 A. 进程被调度程序选中 B. 时间片到 C. 等待某一事件 D. 等待的事件发生 8.一个进程的基本状态可以从其他两种基本状态转变过来，这个基本状态一定是（）。【＊＊，联考】 A. 运行状态 B. 阻塞状态 C. 就绪状态 D. 完成状态 9.当一个进程完成一个时间片后，系统需要将该进程的状态由运行状态转变为（）。【＊，联考】 A. 就绪状态 B. 阻塞状态 C. 撤销状态 D. 创建状态 10.进程状态由就绪态转换为运行态是由（）引起的。【＊＊，联考】 A. 中断事件 B. 进程状态转换 C. 进程调度 D. 为程序创建进程 11.下列选项中，降低进程优先级的合理时机是（）。【＊＊＊，10考研】 A. 进程的时间片用完 B. 进程刚完成I/O，进入就绪队列 C. 进程长期处于就绪队列中 D. 进程从就绪状态转为运行态 12.（）必会引起进程切换。【＊＊，★，联考】

特洛伊木马病毒的隐藏技术_李军丽

特洛伊木马病毒的隐藏技术 李军丽 云南大学信息学院 云南 ６５００３１ 摘要：隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。 关键词：木马病毒；网络安全；隐藏技术 ０ 引言 随着计算机网络技术的迅速发展和普及，人们也开始面临着越来越多的网络安全的隐患，特别木马对网络用户的网络数据和隐私安全产生了极大的威胁；据调查，目前在国内，６８．２６％的用户怀疑受到过木马病毒的攻击，６３％的电脑用户曾受到过木马病毒攻击。隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。 １ 木马的隐藏技术 木马区别与远程控制程序的主要不同点就在于它的隐蔽性，木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几个方面：本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。 １．１ 本地文件伪装隐藏 木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏，或是通过将木马文件命名为和系统文件的文件名相似的文件名，从而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中，或是将木马存放的区域设置为坏扇区。 １．２ 木马的启动隐藏方式 （１） 本地文件伪装 最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本－－－－在程序中把图标改成ＷＩＮＤＯＷＳ的默认图片图标，再把文件名改为．ＪＰＧ．ＥＸＥ。由于ＷＩＮＤＯＷＳ默认设置是不显示已知的文件后缀名，文件将会显示为．ＪＰＧ．，不注意的人一点击这个图标就在无意间启动了木马程序。 （２） 通过修改系统配置来实现木马的启动隐藏 利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行。像Ａｕｔｏｅｘｅｃ．ｂａｔ和Ｃｏｎｆｉｇ．ｓｙｓ。特别是系统配置文件ＭＳＣＯＮＦＩＧ．ＳＹＳＭＳＣＯＮＦＩＧ．ＳＹＳ中的系统启动项—— ｓｙｓｔｅｍ．ｉｎｉｗｉｎｄｏｗ．ｉｎｉ是众多木马的隐藏地。Ｗｉｎｄｏｗｓ安装目录下的ｓｙｓｔｅｍ．ｉｎ的［ｂｏｏｔ］字段中，正常情况下为ｂｏｏｔ＝“Ｅｘｐｌｏｒｅｒ．ｅｘｅ”，如果后面有其他的程序，如这样的内容，ｂｏｏｔ＝“Ｅｘｐｌｏｒｅｒ．ｅｘｅ　ｆｉｌｅ．ｅｘｅ”，这里的ｆｉｌｅ．ｅｘｅ，可能就是木马服务端程序。另外，在Ｓｙｓｔｅｍ．ｉｎｉ中的［３８６ｅｎｈ］字段，要注意检查在此段内的ｄｒｉｖｅｒ＝路径＼程序名。这里也有可能被木马所利用。再有Ｓｙｓｔｅｍ．ｉｎｉ中的［ｄｒｉｖｅｒｓ］，［ｄｒｉｖｅｒｓ３２］，［ｍｃｉ］这３个字段，也是起到加载驱动程序的作用，因此也是增添木马程序的好场所。 （３）　利用系统路径遍历优先级欺骗 Ｗｉｎｄｏｗｓ系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在的盘符的根目录开始向系统目录深处递进查找，而不是精确定位；这就意味着，如果有两个同样名称的文件分别放在“Ｃ：＼”和“Ｃ：＼ＷＩＮＤＯＷＳ”下，ＷＩＮＤＯＷＳ会执行Ｃ：＼下的程序，而不是Ｃ：＼ＷＩＮＤＯＷＳ下的。这样的搜寻逻辑就给入侵者提供了一个机会，木马可以把自己改为系统启动时必定会调用的某个文件里，并复制到比原文件要浅一级的目录里，ＷＩＮＤＯＷＳ就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马，用户必须了解自己机器里所有正常的启动项信息，才能知道木马有没有混进来。 （４） 替换系统文件 木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件，像输入法指示程序ＩＮＴＥＲＮＡＴ．ＥＸＥ。让动态链接库可以像程序一样运行的ＲＵＮＤＬＬ３２．ＥＸ等。木马程序会替换掉原来的系统文件，并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序，木马就能继续驻留内存了。木马作为原来的程序被系统启动时，会获得一个由系统传递来的运行参数，木马程序就把这个参数传递给被改名的程序执行。１．３ 进程隐藏 进程隐藏有两种情况，一种隐藏是木马程序的进程仍然存在，只是不在进程列表里；采用ＡＰＩＨＯＯＫ 技术拦截有关作者简介：李军丽（１９８０－），女，云南大学信息学院０５级硕士研究生，研究方向：计算机网络安全，嵌入式系统。