一、背景介绍
黑客攻击成功后,常有动作包括:系统的启动项(注册表的启动项)、系统服务(系统服务)、进程线程、DLL注入等,本篇文章主要是遍历进程信息并通过pid枚举对应的DLL文件,为下一步DLL注入做准备。同时如果将启动项、系统服务及进程线程、DLL信息,利用黄金镜像形成安全基线,便可以粗粒度的发现电脑中的异常行为,帮助安全人员快速发现异常问题。
二、核心代码实现
代码实现效果图。
源代码文件:
// processTestDlg.cpp : 实现文件
//
#include "stdafx.h"
#include "processTest.h"
#include "processTestDlg.h"
#include "afxdialogex.h"
#include <Tlhelp32.h>
#ifdef _DEBUG
#define new DEBUG_NEW
#endif
// 用于应用程序“关于”菜单项的 CAboutDlg 对话框
class CAboutDlg : public CDialogEx
{
public:
CAboutDlg();
// 对话框数据
enum { IDD = IDD_ABOUTBOX };
protected:
virtual void DoDataExchange(CDataExchange* pDX); // DDX/DDV 支持
// 实现
protected:
DECLARE_MESSAGE_MAP()
};
CAboutDlg::CAboutDlg() : CDialogEx(CAboutDlg::IDD)
{
}
void CAboutDlg::DoDataExchange(CDataExchange* pDX)
{
CDialogEx::DoDataExchange(pDX);
}
BEGIN_MESSAGE_MAP(CAboutDlg, CDialogEx)
END_MESSAGE_MAP()
// CprocessTestDlg 对话框
CprocessTestDlg::CprocessTestDlg(CWnd* pParent /*=NULL*/)
: CDialogEx(CprocessTestDlg::IDD, pParent)
{
m_hIcon = AfxGetApp()->LoadIcon(IDR_MAINFRAME);
}
void CprocessTestDlg::DoDataExchange(CDataExchange* pDX)
{
CDialogEx::DoDataExchange(pDX);
DDX_Control(pDX, IDC_LIST2, m_RunList);
DDX_Control(pDX, IDC_LIST3, m_dll_RunList);
}
BEGIN_MESSAGE_MAP(CprocessTestDlg, CDialogEx)
ON_WM_SYSCOMMAND()
ON_WM_PAINT()
ON_WM_QUERYDRAGICON()
ON_BN_CLICKED(IDC_BUTTON1, &CprocessTestDlg::OnBnClickedButton1)
END_MESSAGE_MAP()
// CprocessTestDlg 消息处理程序
BOOL CprocessTestDlg::OnInitDialog()
{
CDialogEx::OnInitDialog();
// 将“关于...”菜单项添加到系统菜单中。
// IDM_ABOUTBOX 必须在系统命令范围内。
ASSERT((IDM_ABOUTBOX & 0xFFF0) == IDM_ABOUTBOX);
ASSERT(IDM_ABOUTBOX < 0xF000);
CMenu* pSysMenu = GetSystemMenu(FALSE);
if (pSysMenu != NULL)
{
BOOL bNameValid;
CString strAboutMenu;
bNameValid = strAboutMenu.LoadString(IDS_ABOUTBOX);
ASSERT(bNameValid);
if (!strAboutMenu.IsEmpty())
{
pSysMenu->AppendMenu(MF_SEPARATOR);
pSysMenu->AppendMenu(MF_STRING, IDM_ABOUTBOX, strAboutMenu);
}
}
// 设置此对话框的图标。当应用程序主窗口不是对话框时,框架将自动
// 执行此操作
SetIcon(m_hIcon, TRUE); // 设置大图标
SetIcon(m_hIcon, FALSE); // 设置小图标
// TODO: 在此添加额外的初始化代码
DebugPrivilege();
InitProcessList();
ShowProcess();
return TRUE; // 除非将焦点设置到控件,否则返回 TRUE
}
//获取进程信息
void CprocessTestDlg::ShowProcess(){
// 清空列表框内容
m_RunList.DeleteAllItems();
// 创建进程快照
//参数:枚举进程
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if ( hSnap == INVALID_HANDLE_VALUE )
{
AfxMessageBox("CreateToolhelp32Snapshot Error");
return ;
}
PROCESSENTRY32 Pe32 = { 0 };
Pe32.dwSize = sizeof(PROCESSENTRY32);
//返回快照句柄
BOOL bRet = Process32First(hSnap, &Pe32);
int i = 0;
CString str;
// 循环获取进程快照中的每一项
while ( bRet )
{
m_RunList.InsertItem(i, Pe32.szExeFile);
str.Format("%d", Pe32.th32ProcessID);
m_RunList.SetItemText(i, 1, str);
i ++;
bRet = Process32Next(hSnap, &Pe32);
}
CloseHandle(hSnap);
}
void CprocessTestDlg::InitProcessList(){
// MessageBox("test");
LONG lStyle;
lStyle = GetWindowLong(m_RunList.m_hWnd, GWL_STYLE);//获取当前窗口style
lStyle &= ~LVS_TYPEMASK; //清除显示方式位
lStyle |= LVS_EX_GRIDLINES; //设置style
SetWindowLong(m_RunList.m_hWnd, GWL_STYLE, lStyle);//设置style
m_RunList.InsertColumn(0, "进程名");
m_RunList.InsertColumn(1, "进程ID");
m_RunList.SetColumnWidth(0, 150);
m_RunList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER);
lStyle = GetWindowLong(m_dll_RunList.m_hWnd, GWL_STYLE);//获取当前窗口style
lStyle &= ~LVS_TYPEMASK; //清除显示方式位
lStyle |= LVS_EX_GRIDLINES; //设置style
SetWindowLong(m_dll_RunList.m_hWnd, GWL_STYLE, lStyle);//设置style
m_dll_RunList.InsertColumn(0, "DLL名");
m_dll_RunList.InsertColumn(1, "DLL路径");
m_dll_RunList.SetColumnWidth(0, 150);
m_dll_RunList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER);
}
void CprocessTestDlg::OnSysCommand(UINT nID, LPARAM lParam)
{
if ((nID & 0xFFF0) == IDM_ABOUTBOX)
{
CAboutDlg dlgAbout;
dlgAbout.DoModal();
}
else
{
CDialogEx::OnSysCommand(nID, lParam);
}
}
// 如果向对话框添加最小化按钮,则需要下面的代码
// 来绘制该图标。对于使用文档/视图模型的 MFC 应用程序,
// 这将由框架自动完成。
void CprocessTestDlg::OnPaint()
{
if (IsIconic())
{
CPaintDC dc(this); // 用于绘制的设备上下文
SendMessage(WM_ICONERASEBKGND, reinterpret_cast<WPARAM>(dc.GetSafeHdc()), 0);
// 使图标在工作区矩形中居中
int cxIcon = GetSystemMetrics(SM_CXICON);
int cyIcon = GetSystemMetrics(SM_CYICON);
CRect rect;
GetClientRect(&rect);
int x = (rect.Width() - cxIcon + 1) / 2;
int y = (rect.Height() - cyIcon + 1) / 2;
// 绘制图标
dc.DrawIcon(x, y, m_hIcon);
}
else
{
CDialogEx::OnPaint();
}
}
//当用户拖动最小化窗口时系统调用此函数取得光标
//显示。
HCURSOR CprocessTestDlg::OnQueryDragIcon()
{
return static_cast<HCURSOR>(m_hIcon);
}
void CprocessTestDlg::OnBnClickedButton1()
{
// TODO: 在此添加控件通知处理程序代码
int nPid =-1;
//获取焦点
POSITION Pos = m_RunList.GetFirstSelectedItemPosition();
int nSelect = -1;
while ( Pos )
{
nSelect = m_RunList.GetNextSelectedItem(Pos); //获取焦点信息
}
char szPid[10] = { 0 };
m_RunList.GetItemText(nSelect, 1, szPid, 10); //获取PID值
nPid = atoi(szPid);
MODULEENTRY32 Me32 = { 0 };
Me32.dwSize = sizeof(MODULEENTRY32);
// 创建模块快照
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, nPid);
if ( hSnap == INVALID_HANDLE_VALUE )
{
AfxMessageBox("CreateToolhelp32Snapshot 错误");
return ;
}
//返回快照句柄
BOOL bRet = Module32First(hSnap, &Me32);
int i = 0;
CString str;
// 循环获取模块快照中的每一项
while ( bRet )
{
m_dll_RunList.InsertItem(i, Me32.szModule);
m_dll_RunList.SetItemText(i, 1, Me32.szExePath);
i ++;
bRet = Module32Next(hSnap, &Me32);
}
CloseHandle(hSnap);
}
void CprocessTestDlg::DebugPrivilege()
{
HANDLE hToken = NULL;
BOOL bRet = OpenProcessToken(GetCurrentProcess(),
TOKEN_ALL_ACCESS, &hToken);
if ( bRet == TRUE )
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;
LookupPrivilegeValue(NULL,
SE_DEBUG_NAME,
&tp.Privileges[0].Luid);
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,
FALSE, &tp, sizeof(tp),
NULL, NULL);
CloseHandle(hToken);
}
}
![vulnhub DC-4靶机实战0X01 环境部署[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)