C/C++ 获取线程入口地址模块等

简介: 大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,今天检测的特征是向YY语音里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历YY.exe这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。

大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,今天检测的特征是向YY语音里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历YY.exe这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。

准备工作,定义一些核心结构体变量。

#pragma region 依赖
typedef enum _THREADINFOCLASS{
    ThreadBasicInformation,
    ThreadTimes,
    ThreadPriority,
    ThreadBasePriority,
    ThreadAffinityMask,
    ThreadImpersonationToken,
    ThreadDescriptorTableEntry,
    ThreadEnableAlignmentFaultFixup,
    ThreadEventPair_Reusable,
    ThreadQuerySetWin32StartAddress,
    ThreadZeroTlsCell,
    ThreadPerformanceCount,
    ThreadAmILastThread,
    ThreadIdealProcessor,
    ThreadPriorityBoost,
    ThreadSetTlsArrayAddress,
    ThreadIsIoPending,
    ThreadHideFromDebugger,
    ThreadBreakOnTermination,
    MaxThreadInfoClass
}THREADINFOCLASS;
typedef struct _CLIENT_ID{
    HANDLE UniqueProcess;
    HANDLE UniqueThread;
}CLIENT_ID;
typedef struct _THREAD_BASIC_INFORMATION{
    LONG ExitStatus;
    PVOID TebBaseAddress;
    CLIENT_ID ClientId;
    LONG AffinityMask;
    LONG Priority;
    LONG BasePriority;
}THREAD_BASIC_INFORMATION,*PTHREAD_BASIC_INFORMATION;
extern "C" LONG (__stdcall *ZwQueryInformationThread)(
    IN HANDLE ThreadHandle,
    IN THREADINFOCLASS ThreadInformationClass,
    OUT PVOID ThreadInformation,
    IN ULONG ThreadInformationLength,
    OUT PULONG ReturnLength OPTIONAL
    ) = NULL;
#pragma endregion

功能实现核心代码部分如下。

    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);    // 进程快照句柄
    PROCESSENTRY32 process = {sizeof(PROCESSENTRY32)};                        // 进程快照信息

    // 遍历进程,找到 YY.exe
    while (Process32Next(hProcessSnap,&process)){
        string s_szExeFile = process.szExeFile; // char* 转 string
        if(s_szExeFile == "YY.exe"){
            HANDLE hThreadSnap = INVALID_HANDLE_VALUE;            // 线程快照句柄 
            THREADENTRY32 te32;                                    // 线程快照信息

            // 创建线程快照
            hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
            if (hThreadSnap == INVALID_HANDLE_VALUE){cout << "创建线程快照失败" << endl;}

            // 为快照分派内存空间
            te32.dwSize = sizeof(THREADENTRY32);

            // 获取第一个线程的信息
            if (!Thread32First(hThreadSnap, &te32)){cout << "线程信息获取失败" << endl;}

            // 遍历线程
            while (Thread32Next(hThreadSnap, &te32)){
                // 线程属于 YY.exe
                if(te32.th32OwnerProcessID == process.th32ProcessID){
                    // 打开线程
                    HANDLE hThread = ::OpenThread (
                        THREAD_ALL_ACCESS,        // 访问权限,THREAD_ALL_ACCESS :所有权限
                        FALSE,                    // 由此线程创建的进程不继承线程的句柄
                        te32.th32ThreadID        // 线程 ID
                        );
                    if(hThread == NULL){cout << "线程打开失败" << endl;}

                    // 将区域设置设置为从操作系统获取的ANSI代码页
                    setlocale(LC_ALL,".ACP");

                    // 获取 ntdll.dll 的模块句柄
                    HINSTANCE hNTDLL = ::GetModuleHandle("ntdll");    

                    // 从 ntdll.dll 中取出 ZwQueryInformationThread
                    (FARPROC&)ZwQueryInformationThread  = ::GetProcAddress(hNTDLL,"ZwQueryInformationThread");
                    
                    // 获取线程入口地址
                    PVOID startaddr;                        // 用来接收线程入口地址
                    ZwQueryInformationThread(
                        hThread,                            // 线程句柄
                        ThreadQuerySetWin32StartAddress,    // 线程信息类型,ThreadQuerySetWin32StartAddress :线程入口地址
                        &startaddr,                            // 指向缓冲区的指针
                        sizeof(startaddr),                    // 缓冲区的大小
                        NULL                                
                        );

                    // 获取线程所在模块
                    THREAD_BASIC_INFORMATION tbi;            // _THREAD_BASIC_INFORMATION 结构体对象
                    TCHAR modname[MAX_PATH];                // 用来接收模块全路径
                    ZwQueryInformationThread(
                        hThread,                            // 线程句柄
                        ThreadBasicInformation,                // 线程信息类型,ThreadBasicInformation :线程基本信息
                        &tbi,                                // 指向缓冲区的指针
                        sizeof(tbi),                        // 缓冲区的大小
                        NULL
                        );

                    // 检查入口地址是否位于某模块中
                    GetMappedFileName(
                        ::OpenProcess(                        // 进程句柄
                            PROCESS_ALL_ACCESS,                                    // 访问权限,THREAD_ALL_ACCESS :所有权限
                            FALSE,                                                // 由此线程创建的进程不继承线程的句柄
                            (DWORD)tbi.ClientId.UniqueProcess                    // 唯一进程 ID
                            ), 
                        startaddr,                            // 要检查的地址
                        modname,                            // 用来接收模块名的指针
                        MAX_PATH                            // 缓冲区大小
                        );
                    
                    // 判断线程是否在模块中
                    if(modname[0] == '?'){cout << "线程不在模块中" << endl;}
                }
            }            
        }
    }
相关文章
|
15天前
|
缓存 安全 C++
C++无锁队列:解锁多线程编程新境界
【10月更文挑战第27天】
30 7
|
15天前
|
消息中间件 存储 安全
|
1月前
|
存储 消息中间件 资源调度
C++ 多线程之初识多线程
这篇文章介绍了C++多线程的基本概念,包括进程和线程的定义、并发的实现方式,以及如何在C++中创建和管理线程,包括使用`std::thread`库、线程的join和detach方法,并通过示例代码展示了如何创建和使用多线程。
41 1
C++ 多线程之初识多线程
|
21天前
|
存储 并行计算 安全
C++多线程应用
【10月更文挑战第29天】C++ 中的多线程应用广泛,常见场景包括并行计算、网络编程中的并发服务器和图形用户界面(GUI)应用。通过多线程可以显著提升计算速度和响应能力。示例代码展示了如何使用 `pthread` 库创建和管理线程。注意事项包括数据同步与互斥、线程间通信和线程安全的类设计,以确保程序的正确性和稳定性。
|
1月前
|
存储 前端开发 C++
C++ 多线程之带返回值的线程处理函数
这篇文章介绍了在C++中使用`async`函数、`packaged_task`和`promise`三种方法来创建带返回值的线程处理函数。
45 6
|
1月前
|
缓存 负载均衡 Java
c++写高性能的任务流线程池(万字详解!)
本文介绍了一种高性能的任务流线程池设计,涵盖多种优化机制。首先介绍了Work Steal机制,通过任务偷窃提高资源利用率。接着讨论了优先级任务,使不同优先级的任务得到合理调度。然后提出了缓存机制,通过环形缓存队列提升程序负载能力。Local Thread机制则通过预先创建线程减少创建和销毁线程的开销。Lock Free机制进一步减少了锁的竞争。容量动态调整机制根据任务负载动态调整线程数量。批量处理机制提高了任务处理效率。此外,还介绍了负载均衡、避免等待、预测优化、减少复制等策略。最后,任务组的设计便于管理和复用多任务。整体设计旨在提升线程池的性能和稳定性。
74 5
|
1月前
|
C++
C++ 多线程之线程管理函数
这篇文章介绍了C++中多线程编程的几个关键函数,包括获取线程ID的`get_id()`,延时函数`sleep_for()`,线程让步函数`yield()`,以及阻塞线程直到指定时间的`sleep_until()`。
23 0
C++ 多线程之线程管理函数
|
1月前
|
资源调度 Linux 调度
Linux C/C++之线程基础
这篇文章详细介绍了Linux下C/C++线程的基本概念、创建和管理线程的方法,以及线程同步的各种机制,并通过实例代码展示了线程同步技术的应用。
29 0
Linux C/C++之线程基础
|
1月前
|
NoSQL API Redis
如何使用 C++ 开发 Redis 模块
如何使用 C++ 开发 Redis 模块
|
2月前
|
Python
5-5|python开启多线程入口必须在main,从python线程(而不是main线程)启动pyQt线程有什么坏处?...
5-5|python开启多线程入口必须在main,从python线程(而不是main线程)启动pyQt线程有什么坏处?...