木马编程DIY第10篇之网络进程监视

最新推荐文章于 2025-04-10 09:49:03 发布
最新推荐文章于 2025-04-10 09:49:03 发布
阅读量970 收藏
点赞数 1
文章标签: 网络 编程 tcp winapi 扩展 struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/annhf/article/details/3636293
版权
进程管理程序大家都不陌生,通过CreateToolhelp32Snapshot/Process32First/Process32Next系列函数或者PSAPI库不难探出
其中的信息,但对进程是否有网络操作,监听的端口,远程地址,远程端口却力不从心了。然而这种监视对于分析某些恶意软
又十分必要,所以我们的目标就是打操,具有网络监视功能的最终梦幻版本。实现效果如图1所示。


实现方法


NETSTAT -A -N 这条命令可以打印出本地的TCP和UDP连接信息,在06年的杂志上古开元在《解析网络执法官》系列文章中实现
了NETSTAT的功能,方法是使用GetTcpTable和GetUdpTable两个函数得到信息列表,但它却无法实现连接信息与进程的对照,
所以我们还要找其它方法。不能用你还说,给你一顿暴K,当然我也没是没事找刺激,因为在它的基础上MS提供了住处另外的
函数可以达到我们的目得。他们是AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack,与
GetTcpTable和GetUdpTable相比,扩展函数包含了正在使用当前连接进程的ID号,有了进程ID我们就可以做事了。



版本要求

在开始之前还有些事情要做,请确认一下自己操作系统的版本,因为扩展函数是在WINDOWS XP 和更高版本中所提供的
IP帮助函数,而在WINDOWS2000中是无法使用的。不过如果你的WIN2000上安装了VS2003或VS20005那么就可以使用了(包括编写和运行)。
此扩展函数的原形定义在Iphipapi.h文件中,在使用时,必须链接到Iphlpapi.lib库。





函数原型和结构

因为函数所需的结构是没有公开的,使用时要自己定义。我们从函数本身开始介绍
AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack函数在使用时要用iphlpapi.dll中
动态获取扩展函数的入口地址,其示例代码如下:
复制内容到剪贴板
代码:
        HMODULE hModule = ::LoadLibrary("iphlpapi.dll");
        //获取TCP列表
        pAllocateAndGetTcpExTableFromStack =
                        (PFNAllocateAndGetTcpExTableFromStack)::GetProcAddress(hModule,
                                                                        "AllocateAndGetTcpExTableFromStack");
        //获取UDP列表
        pAllocateAndGetUdpExTableFromStack =
                        (PFNAllocateAndGetUdpExTableFromStack)::GetProcAddress(hModule,
                                                                        "AllocateAndGetUdpExTableFromStack");
        其中pAllocateAndGetTcpExTableFromStack 和pAllocateAndGetUdpExTableFromStack 是扩展函数指针如下
       
        PFNAllocateAndGetTcpExTableFromStack pAllocateAndGetTcpExTableFromStack;
        PFNAllocateAndGetUdpExTableFromStack pAllocateAndGetUdpExTableFromStack;
        而PFNAllocateAndGetTcpExTableFromStack和PFNAllocateAndGetUdpExTableFromStack则是
        由我们自己定义扩展函数原型代码如下:
       
        typedef DWORD (WINAPI *PFNAllocateAndGetTcpExTableFromStack)(
          PMIB_TCPEXTABLE *pTcpTable,
          BOOL bOrder,            
          HANDLE heap,
          DWORD zero,
          DWORD flags
        );

        typedef DWORD (WINAPI *PFNAllocateAndGetUdpExTableFromStack)(
          PMIB_UDPEXTABLE *pUdpTable,  
          BOOL bOrder,              
          HANDLE heap,
          DWORD zero,
          DWORD flags
        );
在成功得到函数入口后就可以获取TCP/UDP进程和网络信息列表了其代码如下
复制内容到剪贴板
代码:
        PMIB_TCPEXTABLE pTcpExTable;
        PMIB_UDPEXTABLE pUdpExTable;

        if(pAllocateAndGetTcpExTableFromStack(&pTcpExTable, TRUE, GetProcessHeap(), 2, 2) != 0)
        {
                        MessageBox(" TCP列表失败/n");
        }
        if(pAllocateAndGetUdpExTableFromStack(&pUdpExTable, TRUE, GetProcessHeap(), 2, 2) != 0)
        {
                        MessageBox(" UPD列表失败/n");
        }
其中        PMIB_TCPEXTABLE和PMIB_UDPEXTABLE是自己定义的结构,用来接受列表信息,它们的原形如下
复制内容到剪贴板
代码:
        typedef struct
        {
          DWORD   dwState;                // 连接状态
          DWORD   dwLocalAddr;            // 本地地址
          DWORD   dwLocalPort;            // 本地端口
          DWORD   dwRemoteAddr;           // 远程地址
          DWORD   dwRemotePort;           // 远程端口
          DWORD          dwProcessId;                // 进程ID号
        } MIB_TCPEXROW, *PMIB_TCPEXROW;

        typedef struct
        {
                DWORD                        dwNumEntries;
                MIB_TCPEXROW        table[ANY_SIZE];
        } MIB_TCPEXTABLE, *PMIB_TCPEXTABLE;

        typedef struct
        {
          DWORD   dwLocalAddr;            // 本地地址
          DWORD   dwLocalPort;            // 本地端口
          DWORD          dwProcessId;                // 进程ID号
        } MIB_UDPEXROW, *PMIB_UDPEXROW;

        typedef struct
        {
                DWORD                        dwNumEntries;
                MIB_UDPEXROW        table[ANY_SIZE];
        } MIB_UDPEXTABLE, *PMIB_UDPEXTABLE;
上面的结构信息的说明十分详细,也是程序的核心,这样子我们就可以得进程的ID和其它信息了,下面我再 讨论其具体实现.



细节实现


跟据上文所返回的结构我们可以从中提取需要的信息,包括本地/远程IP,端口状态,进程名称,进程路径等等

各个信息定义如下
复制内容到剪贴板
代码:
        char        szLocalAddr[128];
        char        szRemoteAddr[128];
        char        szProcessName[128];
        in_addr inadLocal;
        in_addr        inadRemote;
        char    strState[128];
        DWORD   dwRemotePort = 0;       
本地IP地址
复制内容到剪贴板
代码:
        inadLocal.s_addr = pTcpExTable->table[i].dwLocalAddr;
远程端口
复制内容到剪贴板
代码:
        if(strcmp(strState, "LISTEN") != 0)
        {
                dwRemotePort = pTcpExTable->table[i].dwRemotePort;
        }
        else
                dwRemotePort = 0;
远程IP地址
复制内容到剪贴板
代码:
        inadRemote.s_addr = pTcpExTable->table[i].dwRemoteAddr;
格式化地址+端口
复制内容到剪贴板
代码:
        sprintf(szLocalAddr, "%s:%u", inet_ntoa(inadLocal),
                        ntohs((unsigned short)(0x0000FFFF & pTcpExTable->table[i].dwLocalPort)));
        sprintf(szRemoteAddr, "%s:%u", inet_ntoa(inadRemote),
                        ntohs((unsigned short)(0x0000FFFF & dwRemotePort)));
连接状态
复制内容到剪贴板
代码:
        switch (pTcpExTable->table[i].dwState)
        {
        case MIB_TCP_STATE_CLOSED:
                strcpy(strState, "CLOSED");
                break;
        case MIB_TCP_STATE_TIME_WAIT:
                strcpy(strState, "TIME_WAIT");
                break;
        case MIB_TCP_STATE_LAST_ACK:
                strcpy(strState, "LAST_ACK");
                break;
        case MIB_TCP_STATE_CLOSING:
                strcpy(strState, "CLOSING");
                break;
        case MIB_TCP_STATE_CLOSE_WAIT:
                strcpy(strState, "CLOSE_WAIT");
                break;
        case MIB_TCP_STATE_FIN_WAIT1:
                strcpy(strState, "FIN_WAIT1");
                break;
        case MIB_TCP_STATE_ESTAB:
                strcpy(strState, "ESTAB");
                break;
        case MIB_TCP_STATE_SYN_RCVD:
                strcpy(strState, "SYN_RCVD");
                break;
        case MIB_TCP_STATE_SYN_SENT:
                strcpy(strState, "SYN_SENT");
                break;
        case MIB_TCP_STATE_LISTEN:
                strcpy(strState, "LISTEN");
                break;
        case MIB_TCP_STATE_DELETE_TCB:
                strcpy(strState, "DELETE");
                break;
        default:
                printf("Error: unknown state!/n");
                break;
        }
进程名称/路径
复制内容到剪贴板
代码:
        hProcess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,false,pTcpExTable->table[i].dwProcessId);
        EnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);                        //枚举进程模块
        GetModuleFileNameEx(hProcess, hModule, Path, sizeof(Path));                                //得到进程路径
        GetModuleBaseName  (hProcess, hModule, Name, sizeof(Name));                                //得到进程名称
   

        在上的实现都应该在以下的循环内进行

        for(UINT i = 0; i < pTcpExTable->dwNumEntries; ++i)
        {
                .........//实现代码
        }
UDP的进程信息


与TCP进程相比UDP是无连接的协议,所以它只有本地IP/端口/进程ID三项,比TCP简单很多,实现上也相差无几,在里就不
再详细说明了,详细实现可以看原代码。


这样整个程序就完工了,因为关注重点是对网络进程的监视,所没有添加结束进程,或查看进程模快的部分,不过有兴趣
的话可以自己进行扩展,来打操真正的梦幻版本。本文参考了张越著的《VC网络程序设计》中的实例,如果有问题可以到
客黑防线的论坛或我的BLOG Http://blog.youkuaiyun.com/chinafe上讨论不论是鼓励还是暴K我都很高兴......。
annhf
关注
易语言监视进程
07-15
总的来说,易语言监视进程不仅是一个实用工具,也是一个学习易语言和系统编程的好教材。通过阅读和研究源代码,你可以掌握更多关于进程管理、资源监控和系统API应用的知识,这对于计算机专业的学生或者对系统运维感...
【QQ用户必备】聊天时如何避开木马攻击
u012789898的专栏
11-12 717
QQ的密码、个人资料和聊天记录能否安全成为至关重要的问题,为了有效地防止聊天记录等本地信息的丢失和被窃可以采取以下措施: 1.设置本地消息口令   首先按下鼠标右键,从QQ图标上选择“系统参数”,在“系统参数”中选择“安全设置”标签。接着选择“启用本地消息加密”,再依次输入口令并确认口令即可。   同时为了保险一定要勾选“启用本地消息加密口令提示”,设定提示问题和问题答案,按下“确定”使设
关于端口和进程的映射
天使的薄荷
07-26 2769
    网上的那些所谓的谈端口和进程映射的例子都不能使用,后来买了这本书,找到了好用的例子。真不明白那些人为什么要把没有用的了例子放到网上去恶心人,自己连试也不试就放到了网上,真的很让人恶心。    这个例子是《visusl c++网络程序设计实例详解》(人民邮电)第七章里面的最后一个例子,很好用,所以放到网上来和大家分享一下。    使用下面的代码的前提是要安装windows2003的Platf
VC++实现遍历所有进程TCP与UDP链接
weixin_30908707的博客
09-04 237
VC++实现遍历所有进程TCP与UDP链接代码如下,请见注释讲解#include <stdio.h> #include <windows.h> #include <Iphlpapi.h> #include <tlhelp32.h> #pragma comment(lib, "Iphlpapi.lib") #pragma comment(lib...
VC++实现检测网络状态所有的TCP与UDP通信
weixin_30823001的博客
11-14 256
UDP 是User Datagram Protocol的简称, 中文名是用户数据报协议,是 OSI 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETF RFC 768是UDP的正式规范。介  UDP协议的全称是用户数据包协议,在网络中它与TCP协议一样用于处理   UDP数据包,是一种无连接的协议。在OSI模型中,在第四层——传输层,处于IP协议的上一层。UDP...
木马/后门程序在WINNT中进程隐藏和查找的方法
11-06
文章主要探讨了在NT环境下,木马如何隐蔽其进程以及如何被检测和查找。 首先,我们了解到在Windows系统中,常见的可执行文件格式是EXE和COM,它们在运行时都会生成独立的进程,这使得通过查找特定进程成为了...
Python网络安全项目开发实战_看清文件上传木马_编程案例解析实例详解课程教程.pdf
04-27
网络安全领域,文件上传木马是一个重要的议题,尤其在Python网络安全项目开发中。黑客常常利用文件上传漏洞来植入木马,以控制服务器。文件上传木马的类型主要分为大马和小马,根据文件大小来区分。小马通常用于...
进程监视ProcessMonitor
08-31
 Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。  有了Process Monitor,...
木马编程十三原理与代码
08-25
"木马编程十三原理与代码"可能包含了一系列关于创建和分析木马程序的文章或教程,旨在教育读者如何从基础到进阶地理解这一技术。 首先,"木马"这个词源于古希腊神话,指的是藏有士兵的木马雕像。在网络世界中,...
穿过网络防火墙监视木马下载器(转)
cuankuangzhong6373的博客
03-14 517
7月5日:今日提醒用户特别注意以下病毒:“下载器变种jk”(Win32.Troj.Downloader.jk)和“小魔女变种aa”(Win32.Hack.LittleWitch.aa)。   “下载器变种jk”(Win32.Tr...
win7 xp vista 下获取进程对应的ip地址和端口信息
脚踏实地,不断突破自我,每天有收获就OK
12-24 3115
// NetStat_Src.cpp : 定义控制台应用程序的入口点。 #include &lt;stdio.h&gt; #include &lt;tchar.h&gt; #include &lt;windows.h&gt; #include &lt;Tlhelp32.h&gt; #include &lt;winsock.h&gt; //#include &lt;winsock2.h&gt; #i...
用C#实现木马程序[转]
08-05 1111
  木马的介绍  因为本文是探讨木马程序,所以在介绍之前有一些木马构成的基本知识事先说明。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。这里主要对软件部分介绍,它主要有控制端程序、木马程序(后台服务程序)、木马配制程序组成。控制端用以远程控制服务端的程序;木马程序是潜入服务端内部,获取其操作权限的程序;木马配制程序是设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏的更隐蔽的程
PID和端口关系映射学习
spiderlily的专栏
12-09 1329
程序功能是获取系统进程ID和TCP/UDP端口的映射关系,利用的是AllocateAndGetTcpExTableFromStack和AllocateAndGetUdpExTableFromStack函数,这两个函数在WIN7之后已经不适用了,虽然有些过时,但对我这种菜鸟学习基础来说还是很有帮助的。         PS:如果想获取进程名与端口的映射关系要麻烦些,需要自己写个函数,通过进程枚举,
windows7不支持AllocateAndGetTcpExTableFromStack
十年磨一剑,霜刃未曾试!
11-18 5998
<br />今天发现iphlpapi.dll 在windows7下已经放弃支持AllocateAndGetTcpExTableFromStack,AllocateAndGetUdpExTableFromStack<br />没用办法只能重新修改程序进行重新编译<br />只能改用 GetExtendedTcpTable 。<br />具体参考:<br />http://msdn.microsoft.com/en-us/library/aa365928(VS.85).aspx
禁用 WebSocket 项目中的进度条显示并更新 pip 安装方式
Mr数据杨
04-09 305
在使用 WebSocket 时,由于进度条展示对funasr项目的兼容性差,修改成本高,因此需要直接禁用进度条。同时,为确保模型依赖项安装使用的是当前虚拟环境的 pip,也需要调整相关安装方法。
关于“网络编程“组件之 “Buffer“
最新发布
m0_73359068的博客
04-10 751
发送缓冲区(Send Buffer):存储应用程序发送但尚未被 TCP 协议确认的数据。接收缓冲区(Receive Buffer):存储从网络接收到但尚未被应用程序读取的数据。
冰刃网络守护进程终止与木马查杀技术
IceSword之所以备受网络安全专家青睐,是因为它可以查看和管理那些通常不可见的隐藏进程,进而帮助发现和清理木马病毒。 ### 知识点五:查看隐藏进程 查看隐藏进程网络安全维护中的一项关键技能。隐藏进程指的是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值