您的位置 首页 百科知识

如何彻底隐藏exe进程

如何彻底隐藏exe进程

一般有文双离氢顶氧定女剂4种方法:

1)DLL挂靠大发

程序改写为DLL结构,挂靠Explo考rer.exe上运行

好处:没进程实体,普通进程查看来自无效

缺点:可以通过代码叫Explorer.exeUnload你的Dll,呵呵,还有Explorer出错时,消销会重新启用,那个时候需要重新挂靠你的DLL

改进:用Debug权限挂靠WinLogon.exe,哈哈,安全系数就高很多,WinLogon死了,你也就死机了

LYSoft主页的http://ly.***.net/projects/NoCtrl+Alt+***.rar是DLL挂般研地紧让资六靠方法的例子,修改就可用

2)APIHook大发

关闭程序的实质是什么?Term不界为设食给inateProcess的资友价期陆师血拉钟家器API!

只要你的***.抓得析液持进title:=‘’就不会出现在任正派务管理器的第一页

第二页会出现的,但不怕,我吗村久东压手祖史既何活Hook了TerminateProcess就可以保证安全了

TerminateProcess可以Hook?可以,但Hook了没用,Handle是未知的

因此实质上要Hook的是360问答OpenProcess,只要是我的进程就拒绝打开

好处:给是房刑或雨乙利针不怕你见的到,你就是关不表朝星黄终了我

缺点:CMD下的命令行方法示离输认露绝Hook不到

改进:能够Hook系统服务就一定前军限线盾毛消可以,可惜难度大,需要编写驱动

LYSoft主页的http://ly.***.net/projects/API***.rar是APIHook方法的例子,修改就可用

3)NT内核修改大发

修改NT系统内核对象PsLoadedModuleList上的ActiveProcessLink链表就可以在系统上“还饭三我看送失踪”了,但实现这个功能需要驱动支持,没驱识动的方法只能适合XP/2003,因为Nt5.1以上的ZwSystemDe考预交bugControlAPI才能支持内核访问

好处:交你怎么都见不到进程的

缺点:难度过大,用内核工具仍然可以看见的,很多RootKit木马就用这个方法的

天此商装师照构有友考责进:几乎是终极大法,没什么别的如红好方举桥贺法了。

LYSoft主空四助族顶加更页的http://ly.***.net/projects/NTLowLevel.exe是演示程序,不提供代码,涉及技术机密,不便奉告

关键代码如下

functionHideProcess:boolean;

labelErr;

var

EProcess:DWord;

hPM,FLink,BLink:Cardinal;

begin

Result:=false;

EProcess:=GetCurrentEProcess;

ifEProcess<1thenExit;

ifnotReadVirtualMemory(EProcess+$88,@FLink,4)thenExit;

ifnotReadVirtualMemory(EProcess+$8C,@BLink,4)thenExit;

ifnotWriteVirtualMemory(FLink+4,@BLink,4)thenExit;

ifnotWriteVirtualMemory(BLink,@FLink,4)thenExit;

Result:=true;

end;

不要问为什么了,你需要NTDDK的知识才能明白的:)

4)远程线程大发

没有实体的存在,没进程,没DLL,只有代码

把代码直接注入进程空间VirtualAllocEx,用CreateRemoteThread运行,

好处:没可见的实体,隐蔽性最强

缺点:适合于简单代码,复杂的难以保证其可靠性和稳定性,病毒的最爱

改进:不需要什么了

这个没演示了,呵呵:)

注入某个进程空间,要涉及到API定位等一系列病毒式操作,在对方的身体运行呀

简单的代码可以,复杂的功能就很不适合,一般的程序根本就不适合,所以除非写病毒,否则不建议用这样的方法,因为连调试都变得很难

上一篇 为什么找不到陈冠希的《不死咒怨2》
下一篇 CDR贝塞尔工文坚新具怎么抠图
扫一扫,手机访问

扫一扫,手机浏览