【文章內(nèi)容簡介】 THREAD_START_ROUTINE pfnStartAddr, PVOID pvParam, DWORD dfwCreate, DWORD pdwThreadId )。 CreateRemoteThread與 CreateThread很相似，差別在于它增加了一 個參數(shù)hProcess。該參數(shù)指明擁有新創(chuàng)建線程的進(jìn)程。參數(shù) pfnStartAddr指明線程函數(shù)的內(nèi)存地址。當(dāng)然，該內(nèi)存地址與遠(yuǎn)程進(jìn)程是相關(guān)的。線程函數(shù)的代碼不能位于你自己進(jìn)程的地址空間中。 這三個注入 DLL 的辦法，在實施的時候可以根據(jù)自己的需要，使用不網(wǎng)絡(luò)聊天軟件的監(jiān)控的基本原理 7 同的方式。比如程序已經(jīng)是在注冊表存在的可以使用注冊表修改。如果要捕獲特殊的 API 函數(shù)的應(yīng)用，就可以用掛鉤的方法注入。還有如果程序的靈活性較大，就還可以使用遠(yuǎn)程線程注入的方法。 WinSock 數(shù)據(jù)傳輸方式 及工作原理 Windows 下網(wǎng)絡(luò)編程的規(guī)范－ Windows Sockets是 Windows下得到廣泛應(yīng)用的、開放的、支持多種協(xié)議的網(wǎng)絡(luò)編程接口。 [13]從 1991 年的 版到 1995 年的 版，經(jīng)過不斷完善并在 Intel、 Microsoft、 Sun、SGI、 Informix、 Novell 等公司的全力支持下，已成為 Windows 網(wǎng)絡(luò)編程的事實上的標(biāo)準(zhǔn)。 Windows sockets 有兩種工作方式 UDP 和 TCP。 UDP(User Datagram Protocol） 用戶數(shù)據(jù)報協(xié)議 用戶數(shù)據(jù)報協(xié)議 是 OSI 參考模型中一種無連接的傳輸 層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)。是一個簡單的面向數(shù)據(jù)報的傳輸層協(xié)議， IETF RFC 768 是 UDP 的正式規(guī)范。 UDP 協(xié)議基本 。 是IP 協(xié)議 與上層協(xié)議的接口。 UDP 協(xié)議適用端口分別運行在同一臺設(shè)備上的多個 應(yīng)用程序。 與 TCP 不同， UDP 并不提供對 IP 協(xié)議的可靠機制、流控制以及錯誤恢復(fù)功能等。由于 UDP 比較簡單， UDP 頭包含很少的字節(jié)，比 TCP 負(fù)載消耗少。 UDP 適用于不需要 TCP 可靠機制的情形，比如，當(dāng)高層協(xié)議或應(yīng)用程序提供錯誤和流控制功能的時候。 UDP 是傳輸層協(xié)議，服務(wù)于很多知 名應(yīng)用層協(xié)議，包括 網(wǎng)絡(luò)文件系統(tǒng) （ NFS）、簡單網(wǎng)絡(luò)管理協(xié)議（ SNMP）、域名系統(tǒng)（ DNS）以及簡單文件傳輸系統(tǒng)（ TFTP）、動態(tài)主機配置協(xié)議 (DHCP)、路由信息協(xié)議 (RIP)和某些影音串流服務(wù)等等。 UDP 通信過程如圖 23 所示： 調(diào)用 W S A S ta rt u p () 初始化 w in so c k調(diào)用 re c v fro m 和 se n d to 進(jìn)行通訊C lo se so c k e t () 關(guān)閉 so c k e t調(diào)用 so c k e t （） 創(chuàng)建一個會話 so c k e t調(diào)用 W S A S ta rt u p () 初始化 w in so c k調(diào)用 so c k e t （） 創(chuàng)建一個會話 so c k e t調(diào)用 re c v fro m 和 se n d to 進(jìn)行通訊C lo se so c k e t () 關(guān)閉 so c k e tse rv e r 端 c li e n t 端圖 2 3 面向無聯(lián)系的數(shù)據(jù)報過程 8 TCP（ Transmission Control Protocol） 傳輸控制協(xié)議 TCP 是一種面向連接（連接導(dǎo)向）的、可靠的、基于字節(jié)流的運輸層（ Transport layer）通信協(xié)議，由 IETF 的 RFC 793 說明（ specified）。在 簡化的計算機網(wǎng)絡(luò) OSI 模型中，它完成第四層傳輸層所指定的功能 。在因特網(wǎng)協(xié)議族（ Inter protocol suite）中， TCP 層是位于 IP 層之上，應(yīng)用層之下的中間層。不同主機的應(yīng)用層之間經(jīng)常需要可靠的、像管道一樣的連接，但是 IP 層不提供這樣的流機制，而是提供不可靠的包交換。應(yīng)用層向 TCP 層發(fā)送用于網(wǎng)間傳輸?shù)?、?8 位字節(jié)表示的數(shù)據(jù)流，然后 TCP 把數(shù)據(jù)流分割成適當(dāng)長度的報文段（通常受該計算機連接的網(wǎng)絡(luò)的數(shù)據(jù)鏈路層的最大傳送單元 (MTU)的限制）。之后 TCP 把結(jié)果包傳給 IP 層，由它來通過網(wǎng)絡(luò)將包傳送給接 收端實體的 TCP 層。TCP 為了保證不發(fā)生丟包，就給每個字節(jié)一個序號，同時序號也保證了傳送到接收端實體的包的按序接收。然后接收端實體對已成功收到的字節(jié)發(fā)回一個相應(yīng)的確認(rèn) (ACK)； 如果發(fā)送端實體在合理的往返時延 (RTT)內(nèi)未收到確認(rèn)，那么對應(yīng)的數(shù)據(jù)（假設(shè)丟失了）將會被重傳。TCP 用一個校驗和函數(shù)來檢驗數(shù)據(jù)是否有錯誤；在發(fā)送和接收時都要計算校驗和。 TCP 建立連接之后，通信雙方都同時可以進(jìn)行數(shù)據(jù)的傳輸 。 他是全雙工的 ， 在保證可靠性上，采用超時重傳和捎帶確認(rèn)機制。在流量控制上，采用滑動窗口協(xié)議，協(xié)議中規(guī)定，對于窗口內(nèi)未經(jīng)確認(rèn)的分組需要重傳。在擁塞控制上，采用慢啟動算法 。 TCP 通信過程如圖 24 所示： 網(wǎng)絡(luò)聊天軟件的監(jiān)控的基本原理 9 s e r v e r 端 c l i e n t 端調(diào) 用 W S A S t a r t u p ( ) 初 始 化 w i n s o c k調(diào) 用 s o c k e t （ ） 創(chuàng) 建 一 個 監(jiān) 聽 s o c k e t調(diào) 用 b i n d ( ) 為 監(jiān) 聽 s o c k e t 指 定 通 訊 對 象調(diào) 用 b i n d ( ) 為 監(jiān) 聽 s o c k e t 指 定 通 訊 對 象調(diào) 用 a c c e p t ( ) 接 收 連 接 并 生 成 會 話 s o c k e t調(diào) 用 s e n d 和 r e c v 進(jìn) 行 對 話C l o s e s o c k e t ( ) 關(guān) 閉 s o c k e t 調(diào) 用 W S A S t a r t u p ( ) 初 始 化 w i n s o c k 調(diào) 用 s o c k e t （ ） 創(chuàng) 建 一 個 會 話 s o c k e t調(diào) 用 s e n d 和 r e c v 進(jìn) 行 對 話調(diào) 用 c o n n e c t i o n （ ） 與 s e r v e r 端 連 接C l o s e s o c k e t ( ) 關(guān) 閉 s o c k e t圖 2 4 面 向 連 接 的 流 方 式 過 程 套接字的阻塞模式和非阻塞模式 套接字的阻塞模式是指套接字在執(zhí)行操作時，調(diào)用函數(shù)在沒有完成操作前不會立即返回的工作模式。使用阻塞模式的套接字開發(fā)網(wǎng)絡(luò)程序比較簡單，容易實現(xiàn)。當(dāng)希望能夠立即發(fā)送和接收數(shù)據(jù)，且處理的套接字?jǐn)?shù)量比較少的情況下，使用阻塞模式來開發(fā)網(wǎng) 絡(luò)程序比較適合。阻塞模式的不足表現(xiàn)為，在大量建立好的套接字線程之間進(jìn)行通信是比較困難。 套接字的非阻塞模式是指套接字在執(zhí)行操作時，調(diào)用的函數(shù)不管操作是否完成都會立即返回的工作模式非阻塞套接字在處理同時建立的多個連接，發(fā)送和接收的數(shù)據(jù)量不均、時間不定的方面具有明顯優(yōu)勢。 10 聊天監(jiān)控軟件的系統(tǒng)分析 11 3 聊天 監(jiān)控軟件的 系統(tǒng) 分析 軟件目標(biāo) 本系統(tǒng)就是要營造一個良好的網(wǎng)絡(luò)聊天氛圍， 對違法犯罪的信息發(fā)布進(jìn)行攔截與記錄。為聊天軟件開發(fā)商提供真實 可靠的攔 截數(shù)據(jù)記錄。為實時聊天安全監(jiān)控提出一個初步的模版。 可以根據(jù)需要對不同的分支進(jìn)行擴(kuò)展，包括網(wǎng)絡(luò)聊天，電子商務(wù)的安全，以及聊天室，社區(qū)。 系統(tǒng)功能應(yīng)包含 對數(shù)據(jù)的 攔截 、 讀 寫文件 、 數(shù)據(jù)庫 操作等 。系統(tǒng)界面力求簡潔、易用，在標(biāo)準(zhǔn)化的基礎(chǔ)上考慮界面的美觀和新穎。 該軟件可以面向所有經(jīng)常使用網(wǎng)絡(luò)聊天軟件的用戶。以及為網(wǎng)絡(luò)安全管理員提供真實可靠的數(shù)據(jù)依據(jù)。 聊天 監(jiān)控 軟件的 功能 分析 本系統(tǒng)一共有 4 個模塊。 1：小型的聊天程序，它主要實 現(xiàn)一般的聊天信息的接收和發(fā)送 , 最主要的目的是為監(jiān)控軟件系統(tǒng)提供測試平臺與環(huán)境 。 2：監(jiān)控程序 ，對信息間的數(shù)據(jù)進(jìn)行獲取與分析。 3：寫程序文件，對攔截到的信息進(jìn)行一個簡單的文件操作。 4：數(shù)據(jù)庫管理 , 對大量的數(shù)據(jù)進(jìn)一個綜合的整理與分析。 在得到攔截到的消息以后，管理員就可以對數(shù)據(jù)進(jìn)行查詢和分析。 盡管系統(tǒng)有許多功能模塊，但是從用戶角度來看，系統(tǒng)提供的功能如圖 31 所示： 查 詢刪 除A d m i n文 檔 數(shù) 據(jù) 入 庫 圖 31 用例圖 軟件的邏輯結(jié)構(gòu) 軟件主要分為四個模塊。聊天程序、 Hook 注入的 DLL 模塊，文件讀寫模塊和數(shù)據(jù)庫模塊。 聊天程序通過 WinSock,主要實現(xiàn)消息 的發(fā)送與接收。Hook 的 DLL 文件在發(fā)送 Send()函數(shù)調(diào)用時，對 Send（）的消息進(jìn)行攔截和判斷。如果發(fā)現(xiàn)有不安全的信息時，會把內(nèi)容通過文件流寫到文件里面。最后通過數(shù)據(jù)庫程序把文件內(nèi)容導(dǎo)入數(shù)據(jù)庫。 各個模塊類之間的關(guān)系 如圖 12 32 所示 ： C S o c k e t D l gm _ h l c o mm _ s o c k e tD o D a t a E x c h a n g e ( )O n B t n S e n d ( )O n P a i n t ( )O n R e c v D a t a ( )S O C K I N I T ( )R E C V P A R A Mh w n ds o c kG l o b a l sb H o o kb y t e J m p S e n dd w l d N e wd w l d O l dd w T h r e a d I Dg _ h A r m l n sg _ H o o kh M o d u l eN e w M A s s a g e B o x A c o d eO l d M a s s a g e B o x A c o d ep f M a s s s a g e B o x AH o o k l i n t n C o d e ( )H o o k o f f ( )I n i t ( )M y s e n d C s o c k e t s ( )S e t H o o k ( )u n i n t s l l H o o k ( )文 件F r m m a i nI n s e r t （ ）F i n d （ ）D e l （ ）數(shù) 據(jù) 庫 圖 32 軟件各個模塊類關(guān)系圖 軟件系統(tǒng)設(shè)計 13 4 軟件系統(tǒng)設(shè)計 鉤子模塊設(shè)計 鉤子模塊設(shè)計是系統(tǒng)中最核心的內(nèi)容。在程序運行的時候，先鉤子程序。當(dāng)然鉤子程序發(fā) 現(xiàn)有 send()函數(shù)調(diào)用時進(jìn)行 DLL 的注入。 將攔截到的信息寫入到文件中，最后通過數(shù)據(jù)庫程序?qū)⑽募膬?nèi)容進(jìn)行拆分并導(dǎo)入到數(shù)據(jù)庫中。鉤子模塊實現(xiàn)的順序圖 如圖 41 所示 ： : g l o b a ls e t H o o k ( ) 獲 得 目 標(biāo) 句 柄F o u t ( ) 寫 文 件圖 4 1 鉤 子 模 塊 順 序 圖s e t W i n d o w s h o ok E x ( ) 安 裝