關于利用進程間通信實現(xiàn)程序自我保護
摘要:本文從實例的角度出發(fā),以模擬病毒特征為主線,詳細地介紹了如何利用多進程實現(xiàn)程序的自我保護。通過對進程及線程運行原理的分析,重點研究進程間通信技術,最終實現(xiàn)程序運行的穩(wěn)定。
關鍵詞:病毒 進程間通信 程序自我保護
1、引言
在計算機和網絡技術日益發(fā)展的今天,病毒這個字眼越來越多地出現(xiàn)在了媒體和人們的言論中。計算機病毒的發(fā)展必然會促進計算機反病毒技術的發(fā)展,新型病毒的出現(xiàn)向以行為規(guī)則判定病毒的預防產品、以病毒特征為基礎的檢測產品,以及根據計算機病毒傳染宿主程序的方法而消除病毒的產品提出了挑戰(zhàn),致使原有的反病毒技術和產品在新型的計算機病毒面前無能為力。這樣,勢必使人們認識到現(xiàn)有反病毒產品在對抗新型的計算機病毒方面的局限性,迫使人們在反病毒的技術和產品上進行新的更新和換代。要打敗對手,就要從了解對手開始,本文從模擬病毒隱藏性和寄生性的角度出發(fā),以進程通信、進程快照、多線程等技術基礎,利用Visual C++的MFC窗口界面設計了一組程序自我保護軟件,經過測試實現(xiàn)了程序的穩(wěn)定運行。
2、進程的概念
當一個程序開始運行時,它就是一個進程,進程所指包括運行中的程序和程序所使用到的內存和系統(tǒng)資源。因此定義進程(Process)是具有一定獨立功能的程序關于某個數(shù)據集合上的一次運行活動,是系統(tǒng)進行資源分配和調度的一個獨立單位。程序只是一組指令的有序集合,它本身沒有任何運行的含義,只是一個靜態(tài)實體。而進程則不同,它是程序在某個數(shù)據集上的執(zhí)行,是一個動態(tài)實體。它因創(chuàng)建而產生,因調度而運行,因等待資源或事件而被處于等待狀態(tài),因完成任務而被撤銷,反映了一個程序在一定的數(shù)據集上運行的全部動態(tài)過程。
進程由兩個部分組成:
(1)操作系統(tǒng)用來管理進程的內核對象。內核對象也是系統(tǒng)用來存放關于進程的統(tǒng)計信息的地方。
(2)地址空間。它包含所有可執(zhí)行模塊或DLL模塊的代碼和數(shù)據。它還包含動態(tài)內存分配的空間,如線程堆棧和堆分配空間。
目前常用的操作系統(tǒng)都是并行的,就是多個進程可以同步運行,這時就會牽扯到進程間通信這個概念。所謂進程通信,就是不同進程之間進行一些“接觸”,這種接觸有簡單,也有復雜。機制不同,復雜度也不一樣。通信是一個廣義上的意義,不僅僅指傳遞一些信息。舉個例子來說明:比如說在使用IE上網時,你想將網頁上的一段文字保存至你的電腦上,這時有一種簡單的方法,就是復制粘貼。將你想保存的文字選中,然后將其復制,接下來將所復制的文字粘貼到.TXT文檔中,這時就形成了兩個進程之間的通信,這里的通信媒介是剪貼板。
3、線程的概念
為了對線程模式有一定的理解,我們可以將其想象為把一所屋子里的東西搬到另一所屋子。如果采用單線程方法,則需要自己完成從打包到扛箱子再到拆包的所有工作。如果使用單元線程模式,則表示邀請了好朋友來幫忙。每個朋友在一個單獨的房間里工作,并且不能幫助在其他房間工作的人。他們各自負責自己的空間和空間內的物品搬運。如果采用自由線程方法,仍然邀請相同的朋友來幫忙,但是所有朋友可以隨時在任何一個房間工作,共同打包物品。與此類似,房子就是運行所有線程的進程,每個朋友都是一個代碼實例,搬運的物品為應用程序的資源和變量。
有了上面的例子,便能容易理解線程(Thread)是一個能獨立于程序的其他部分運行的作業(yè),是進程的一個實體,是CPU調度和分派的基本單位。線程不能夠獨立執(zhí)行,必須依存在應用程序中,由應用程序提供多個線程執(zhí)行控制。線程是程序中的一個執(zhí)行流,每個線程都有自己的專有寄存器(棧指針、程序計數(shù)器等),但代碼區(qū)是共享的,即不同的線程可以執(zhí)行同樣的函數(shù)。一個線程可以執(zhí)行應用程序代碼的任一部分,包括正在由另一線程執(zhí)行的代碼。
線程由兩個部分組成:
(1)線程的內核對象,操作系統(tǒng)用它來對線程實施管理。內核對象也是系統(tǒng)用來存放線程統(tǒng)計信息的地方。
(2)線程堆棧,它用于維護線程在執(zhí)行代碼時需要的所有參數(shù)和局部變量。
線程屬于一個過程,操作系統(tǒng)為每一個運行線程安排一定的CPU時間——時間片,線程是操作系統(tǒng)分配CPU時間的基本單位。系統(tǒng)通過一種循環(huán)的方式為線程提供時間片,線程在自己的時間內運行,因時間片相當短,因此,給用戶的感覺,就好像線程是同時運行的一樣。如果計算機擁有多個CPU,線程就能真正意義上同時運行了。
4、進程與線程的關系
根據操作系統(tǒng)的定義,進程是系統(tǒng)資源管理的最小單位,線程是程序執(zhí)行的最小單位。進程是不活潑的,進程可以理解為是線程的容器。若要使進程完成某項操作,它必須擁有一個在它的環(huán)境中運行的線程,此線程負責執(zhí)行包含在進程的地址空間中的代碼。單個進程可能包含若干個線程,這些線程都“同時”執(zhí)行進程地址空間中的代碼。每個進程至少擁有一個線程,來執(zhí)行進程的地址空間中的代碼。當創(chuàng)建一個進程時,操作系統(tǒng)會自動創(chuàng)建這個進程的第一個線程,稱為主線程。此后,該線程可以創(chuàng)建其他的線程。
線程是屬于進程的,它沒有自己的獨立的數(shù)據地址空間,線程運行在進程空間內,因此線程的切換速度比較快。同一進程所產生的線程共享同一內存空間,而這些線程的執(zhí)行由系統(tǒng)調度程序控制,調度程序決定哪個線程可執(zhí)行以及什么時候執(zhí)行線程。線程有優(yōu)先級別,優(yōu)先權較低的線程必須等到優(yōu)先權較高的線程執(zhí)行完后再執(zhí)行。當進程退出時該進程所產生的線程都會被強制退出并清除。線程可與屬于同一進程的其他線程共享虛地址空間、全局變量,以及該進程所擁有的全部資源,包括打開的文件、信號標志及動態(tài)分配的內存等。但是其本身基本上不擁有系統(tǒng)資源,只擁有一點在運行中必不可少的信息(如程序計數(shù)器、一組寄存器和棧)。
線程有點像進程身體內的細胞,我們通常聽過多進程多線程,單進程多線程。這就是說,一個系統(tǒng)內有幾個進程,如果進程是多個,就是多進程的,如果進程內有多個線程,那就是多線程的,多進程多線程的系統(tǒng)比單進程多線程的系統(tǒng)速度慢,但是可靠性高。
5、程序的設計與實現(xiàn)
程序的自我保護是一個大的概念,其中有多種方式和手段來實現(xiàn)自身的保護。比如隱藏、自我復制、注冊為服務,等等。我們實現(xiàn)的程序自我保護實際上是一個相互監(jiān)督的過程。其中包括了程序之間的監(jiān)督和報警,監(jiān)聽程序的隱藏與保護。
5.1監(jiān)督
所謂監(jiān)督,是利用進程枚舉的方法,讓所有程序在運行同時不停地對進程列表進行快照,并檢查目標進程是否存在的過程。
在Windows環(huán)境下可以通過調用ToolHelp API函數(shù)來達到枚舉系統(tǒng)進程的目的。微軟的Windows NT開發(fā)小組因為不喜歡ToolHelp函數(shù),所以沒有將這些函數(shù)添加給Windows NT,所以開發(fā)了自己的Process Status函數(shù),就是PSAPI。但是后來微軟已經將ToolHelp函數(shù)添加給了Windows 2000。ToolHelp32庫函數(shù)在KERNEL32.dll中,它們都是標準的API函數(shù)。
ToolHelp32庫中有各種各樣的函數(shù)可以用來枚舉系統(tǒng)中的進程、線程,以及獲取內存和模塊信息。其中枚舉進程只需用如下三個的函數(shù):CreateToolhelp32Snapshot()、Process32First()和Process32Next()。
使用ToolHelp32函數(shù)的第一步是用CreateToolhelp32Snapshot()函數(shù)創(chuàng)建系統(tǒng)信息“快照”。這個函數(shù)可讓你選擇存儲在快照中的信息類型。如果你只是對進程信息感興趣,那么只要包含TH32CS_SNAPPROCESS標志即可。 CreateToolhelp32Snapshot()函數(shù)返回一個HANDLE,完成調用之后,必須將此HANDLE傳給CloseHandle()。
接下來是調用一次Process32First函數(shù),從快照中獲取進程列表,然后重復調用Process32Next,直到函數(shù)返回FALSE為止。這樣將遍歷快照中進程列表。這兩個函數(shù)都帶兩個參數(shù),它們分別是快照句柄和一個PROCESSENTRY32結構。
調用完Process32First或Process32Next之后,PROCESSENTRY32中將包含系統(tǒng)中某個進程的關鍵信息。它的具體內容如下:
typedef struct tagPROCESSENTRY32{
DWORD dwSize;
DWORD cntUsage;
DWORD th32ProcessID;
DWORD th32DefaultHeapID;
DWORD th32ModuleID;
DWORD cntThreads;
DWORD th32ParentProcessID;
LONG pcPriClassBase;
DWORD dwFlags;
TCHAR szExeFile;
DWORD th32MemoryBase;
DWORD th32AccessKey;
}PROCESSENTRY32;
其中進程ID就存儲在此結構的th32ProcessID。此ID可以被傳給OpenProcess()API以獲得該進程的句柄。對應的可執(zhí)行文件名及其存放路徑存放在szExeFile結構成員中。在該結構中還可以找到其他一些有用的信息。
5.2報警
這里的報警就涉及了進程間通信的概念。本文中涉及的進程間通信是用剪貼板的方法,剪貼板在我們實際應用中是用得比較多的,它實際上是系統(tǒng)維護管理的一個內存區(qū)域,當我們在一個程序中復制數(shù)據的時候,實際上是將這些數(shù)據放入了內存,相反,當我們在另一個程序中粘貼數(shù)據時實際上是從內存取出數(shù)據。下面介紹一下使用剪貼板時的主要函數(shù):打開剪貼板OpenClipboard(),不管是對剪貼板的讀還是寫,都要首先調用此函數(shù),以判斷是否可以對剪貼板進行操作。此函數(shù)是BOOL型的,如果調用成功就返回非零,否則返回零。清空剪貼板EmptyClipborad(),每次對剪貼板的寫入操作之前,都應該調用此函數(shù),這個函數(shù)的作用不僅是清空剪貼板,而且起到獲得剪貼板的使用權的作用。同樣,這個函數(shù)也是BOOL型的,如果調用成功就返回非零,否則返回零。對剪貼板寫入SetClipboardData(UINT uFormat,HANDLE hMem),這個函數(shù)有兩個參數(shù),第一個參數(shù)用來表示寫入剪貼板數(shù)據的格式,第二個參數(shù)接收一個句柄值,在這里它接收一個指向內存對象的句柄,這個內存對象中存放著準備寫入剪貼板的數(shù)據內容。在調用SetClipboardData(UINT uFormat,HANDLE hMem)之前還需要調用GlobalAlloc(UINT uFlags,SIZE_T dwSytes)這樣一個函數(shù),它專門用來為將要寫入的數(shù)據分配一塊內存空間。這個函數(shù)接收兩個參數(shù),第一個參數(shù)表示如何來分配內存空間,這里我們將它設置為GMEM_MOVEABLE,表示動態(tài)分配內存。第二個參數(shù)是表示分配內存空間的大小。GlobalAlloc(UINT uFlags,SIZE_T dwSytes)返回一個句柄,我們無法使用句柄來間接的將數(shù)據放入內存,這時就需要調用另一個函數(shù)GlobalLock(HGLOBAL hMem),這個函數(shù)獲得一個內存對象的句柄,將這塊內存加鎖,返回一個指針,這時我們就可以給指針所指向的這塊內存寫入數(shù)據了。這個函數(shù)使用一個內存計數(shù),計數(shù)器基數(shù)為零,每調用一次計數(shù)器加一,所以每調用一次的同時還需要調用另外一個函數(shù)GlobalUnlock(HGLOBAL hMem)來給計數(shù)器減一,相當于取消對這塊內存的鎖定。本文設計的程序實現(xiàn)報警功能就是在枚舉進程之后發(fā)現(xiàn)目標進程被終止,從而在剪貼板中寫入信息的過程。
5.3監(jiān)聽
所謂監(jiān)聽,就是報警的反方向,即從剪貼板中讀出信息。從剪貼板讀取數(shù)據的函數(shù) GetClipboardData(UINT uFormat)。這個函數(shù)只接收一個參數(shù),參數(shù)指定讀取的格式。讀取信息之后,我們還要對信息進行if判斷,如果信息是我們預留的某個進程被結束的話,我們就啟動保護措施。
5.4保護和隱藏
這里的保護是指監(jiān)聽程序對其他程序的保護,方法非常簡單,只需要利用 WinExec函數(shù)來實現(xiàn)目標進程的啟動就可以。而隱藏是指監(jiān)聽程序自身的隱藏,只要在OnPaint()函數(shù)里調用 ShowWindow(SW_HIDE)函數(shù)就可以了,同時將監(jiān)聽程序命名為smss,就可以避免其被強行終止。
6、結束語
本文中程序的設計是模仿病毒的一些特性而做成的。它實現(xiàn)了程序的隱藏,并且利用了系統(tǒng)的漏洞實現(xiàn)了不被終止。對我們了解病毒的特征提供了良好平臺,同時對一般程序自我保護的設計有很好的現(xiàn)實意義。
【利用進程間通信實現(xiàn)程序自我保護】相關文章:
利用財務軟件的輔助核算實現(xiàn)業(yè)務進程監(jiān)測02-21
論移動通信中移動IP節(jié)點技術的實現(xiàn)11-17
淺談利用云桌面技術實現(xiàn)對機房改造的應用論文12-02
土地資源的可持續(xù)利用與保護分析03-11