浅议利用进程间通信实现程序自我保护

DWORD dwFlags； 
　　TCHAR szExeFile； 
　　DWORD th32MemoryBase； 
　　DWORD th32AccessKey； 
　　}PROCESSENTRY32； 
　　其中进程ID就存储在此结构的th32ProcessID。此ID可以被传给OpenProcess（）API以获得该进程的句柄。对应的可执行文件名及其存放路径存放在szExeFile结构成员中。在该结构中还可以找到其他一些有用的信息。 
　　5.2报警 
　　这里的报警就涉及了进程间通信的概念。本文中涉及的进程间通信是用剪贴板的方法，剪贴板在我们实际应用中是用得比较多的，它实际上是系统维护管理的一个内存区域，当我们在一个程序中复制数据的时候，实际上是将这些数据放入了内存，相反，当我们在另一个程序中粘贴数据时实际上是从内存取出数据。下面介绍一下使用剪贴板时的主要函数：打开剪贴板OpenClipboard（），不管是对剪贴板的读还是写，都要首先调用此函数，以判断是否可以对剪贴板进行操作。此函数是BOOL型的，如果调用成功就返回非零，否则返回零。清空剪贴板EmptyClipborad（），每次对剪贴板的写入操作之前，都应该调用此函数，这个函数的作用不仅是清空剪贴板，而且起到获得剪贴板的使用权的作用。同样，这个函数也是BOOL型的，如果调用成功就返回非零，否则返回零。对剪贴板写入SetClipboardData（UINT uFormat，HANDLE hMem），这个函数有两个参数，第一个参数用来表示写入剪贴板数据的格式，第二个参数接收一个句柄值，在这里它接收一个指向内存对象的句柄，这个内存对象中存放着准备写入剪贴板的数据内容。在调用SetClipboardData（UINT uFormat，HANDLE hMem）之前还需要调用GlobalAlloc（UINT uFlags，SIZE_T dwSytes）这样一个函数，它专门用来为将要写入的数据分配一块内存空间。这个函数接收两个参数，第一个参数表示如何来分配内存空间，这里我们将它设置为GMEM_MOVEABLE，表示动态分配内存。第二个参数是表示分配内存空间的大小。GlobalAlloc（UINT uFlags，SIZE_T dwSytes）返回一个句柄，我们无法使用句柄来间接的将数据放入内存，这时就需要调用另一个函数GlobalLock（HGLOBAL hMem），这个函数获得一个内存对象的句柄，将这块内存加锁，返回一个指针，这时我们就可以给指针所指向的这块内存写入数据了。这个函数使用一个内存计数，计数器基数为零，每调用一次计数器加一，所以每调用一次的同时还需要调用另外一个函数GlobalUnlock（HGLOBAL hMem）来给计数器减一，相当于取消对这块内存的锁定。本文设计的程序实现报警功能就是在枚举进程之后发现目标进程被终止，从而在剪贴板中写入信息的过程。 
　　5.3监听 
　　所谓监听，就是报警的反方向，即从剪贴板中读出信息。从剪贴板读取数据的函数GetClipboardData（UINT uFormat）。这个函数只接收一个参数，参数指定读取的格式。读取信息之后，我们还要对信息进行if判断，如果信息是我们预留的某个进程被结束的话，我们就启动保护措施。 
　　5.4保护和隐藏 
　　这里的保护是指监听程序对其他程序的保护，方法非常简单，只需要利用WinExec函数来实现目标进程的启动就可以。而隐藏是指监听程序自身的隐藏，只要在OnPaint（）函数里调用ShowWindow（SW_HIDE）函数就可以了，同时将监听程序命名为smss，就可以避免其被强行终止。 
　　6.结语 
　　本文中程序的设计是模仿病毒的一些特性而做成的。它实现了程序的隐藏，并且利用了系统的漏洞实现了不被终止。对我们了解病毒的特征提供了良好平台，同时对一般程序自我保护的设计有很好的现实意义。