遠程執行緒注入

遠程執行緒插入(注入)技術指的是通過在另一個進程中創建遠程執行緒的方法進入目標進程的記憶體地址空間。將木馬程式以DLL的形式實現後,需要使用插入到目標進程中的遠程執行緒將該木馬DLL插入到目標進程的地址空間,即利用該執行緒通過調用Windows API LoadLibrary函式來載入木馬DLL,從而實現木馬對系統的侵害。

木馬編寫者首先把一個實際為木馬主體的dll檔案載入記憶體,然後通過“執行緒注射”技術將其注入其他進程的記憶體空間,最後這個dll里的代碼就成為其他進程的一部分來實現了自身的隱藏執行,通過調用“hook”機制(
鉤子(hook),是windows訊息處理機制的一個平台,應用程式可以在上面設定子程以監視指定視窗的某種訊息,而且所監視的視窗可以是其他進程所創建的。當訊息到達後,在目標視窗處理函式之前處理它。鉤子機制允許應用程式截獲處理window訊息或特定事件。)
這個DLL木馬便實現了監視用戶的輸入輸出操作,截取有用的資料等操作。這種木馬的實際執行體是一個dll檔案,由於Windows系統自身就包含著大量的dll檔案,誰也無法一眼看出哪個dll檔案不是系統自帶的,所以這種木馬的隱蔽性又提高了一級,而且它的執行方式也更加隱蔽,這是由Windows系統自身特性決定的,Windows自身就是大量使用dll的系統,許多dll檔案在啟動時便被相關的應用程式載入進記憶體里執行了,可是有誰在進程里直接看到過某個dll在運行的?因為系統是把dll視為一種模組性質的執行體來調用的,它內部只包含了一堆以函式形式輸出的模組,也就是說每個dll都需要由一個用到它的某個函式的exe來載入,當dll里的函式執行完畢後就會返回一個運行結果給調用它的exe,然後dll進程退出記憶體結束這次執行過程,這就是標準的dll運行周期,而採用了“執行緒注射”技術的dll則不是這樣,它們自身雖然也是導出函式,但是它們的代碼是具備執行邏輯的,這種模組就像一個普通exe,只是它不能直接由自身啟動,而是需要有一個特殊作用的程式(稱為載入者)產生的進程把這個dll的主體函式載入記憶體中執行,從而讓它成為一個運行中的木馬程式

360安全衛士遠程執行緒注入解決方案

wmiprvse.exe微軟Windows作業系統的一部分。用於通過winmgmt.exe程式處理WMI操作。這個程式對計算機系統的正常運行是非常重要的。
檔案描述
進程檔案: wmiprvse or wmiprvse.exe
進程名稱: Microsoft Windows Management Instrumentation
出品者: Microsoft
屬於: Microsoft Windows Operating System
系統進程: 是
後台程式: 是
使用網路: 否
硬體相關: 否
常見錯誤: 未知N/A
記憶體使用: 未知N/A
安全等級 (0-5): 0
間諜軟體: 否
Adware: 否
病毒: 否
木馬: 否
Windows® Management Instrumentation (WMI) is a component of the Microsoft® Windows® operating system that provides management information and control in an enterprise environment. By using industry standards, managers can use WMI to query and set information on desktop systems, applications, networks, and other enterprise components. Developers can use WMI to create event monitoring applications that alert users when important incidents occur.
In earlier versions of Windows, providers were loaded in-process with the Windows Management service (WinMgmt.exe), running under the LocalSystem security account. Failure of a provider caused the entire WMI service to fail. The next request to WMI restarted the service.
Beginning with Windows XP, WMI resides in a shared service host with several other services. To avoid stopping all the services when a provider fails, providers are loaded into a separate host process named Wmiprvse.exe. Multiple instances of Wmiprvse.exe can run at the same time under different accounts: LocalSystem, NetworkService, or LocalService. The WMI core WinMgmt.exe is loaded into the shared Local Service host named Svchost.exe.
Note: wmiprvsw.exe is the Sasser worm!
Note: The wmiprvse.exe file is located in the C:\WINDOWS\System32\Wbem folder. In other cases, wmiprvse.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.
Virus with same name:
W32/Sonebot-B - sophos.c0m
ntsd殺不死的進程(分大小寫):WMIPRVSE.EXE
檔案位置:
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllcache\wmiprvse.exe
以下是翻譯:
Windows® 管理儀器工作(WMI) 是Microsoft® 的組分; Windows® 提供管理信息和控制在企業環境裡的作業系統。由使用業界標準, 經理能使用WMI 詢問和設定信息關於桌面系統、套用、網路, 和其它企業組分。開發商可能使用WMI 創造事件機敏的用戶的監視套用當重要事件發生。
在視窗的更加早期的版本, 提供者是被裝載的在過程以視窗管理服務(WinMgmt.exe), 運行在LocalSystem 證券帳戶之下。提供者的失敗導致整個WMI 服務失敗。下個請求對WMI 重新開始了服務。
開始從Windows XP, WMI 居住在一個共有的服務主人以幾其它服務。避免停止所有服務當提供者失敗, 提供者被裝載入一個分開的主人過程被命名Wmiprvse.exe 。Wmiprvse.exe 多個事例可能同時運行在不同的帳戶之下: LocalSystem 、NetworkService, 或LocalService 。WMI 核心WinMgmt.exe 被裝載入共有的地方服務主人被命名Svchost.exe 。
注: wmiprvsw.exe 是Sasser 蠕蟲!
注: wmiprvse.exe 檔案尋找,正常的應該在C:\WINDOWS\System32\Wbem 資料夾。如果在其它檔案, wmiprvse.exe 就是病毒、spyware 、特洛伊木馬或蠕蟲! 檢查這與安全任務經理。
注釋: wmiprvse.exe 是存放在 C:\Windows\System32 下的子目錄 - 正常是 C:\WINDOWS\System32\wbem\。已知的 Windows XP 檔案大小為 218,112 位元組 (占總出現比率 88% ),245,248 位元組,203,776 位元組,207,872 位元組,203,264 位元組,206,336 位元組,225,280 位元組,229,376 位元組,226,304 位元組。
如何禁止Wmiprvse.exe進程
1.在CMD中運行
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /v debugger /t reg_sz /d debugfile.exe /f
重新啟用Wmiprvse.exe 進程方法方法:
在CMD中運行
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /f
2.解決方法:
wmiprvse.exe是一個系統服務的進程,你可以結束任務,進程自然消失。
禁用Windows Management Instrumentation Driver Extensions服務或者改為手動
具體:桌面-我的電腦-管理-服務和應用程式-服務 裡面有個Windows Management Instrumentation 右鍵—禁用就可以了.
個人用過後感覺第二種方法較好。
解除命令方法:同樣操作複製下邊的命[1][2][3]令貼上輸入,回車確定。即可、
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /f

相關搜尋

熱門詞條

聯絡我們