社区
API
帖子详情
进程隐藏,自启动问题!!
一如当初
2004-11-23 08:43:26
在网上查过,都说在98下可以隐藏,NT系统下就无能为力了
是这样吗?
如果有,能不能给代码看看呢?
再就是随系统启动问题,这个很容易被一些软件看出来
我以前碰到过一次,一个后台程序,它并不是随系统启动,而是当你使用windows记事本时
后台程序就运行了,和记事本关联起来了吧???不知这个怎么实现?
最后,我并不是要做什么木马
aqtata@163.com
...全文
123
1
打赏
收藏
进程隐藏,自启动问题!!
在网上查过,都说在98下可以隐藏,NT系统下就无能为力了 是这样吗? 如果有,能不能给代码看看呢? 再就是随系统启动问题,这个很容易被一些软件看出来 我以前碰到过一次,一个后台程序,它并不是随系统启动,而是当你使用windows记事本时 后台程序就运行了,和记事本关联起来了吧???不知这个怎么实现? 最后,我并不是要做什么木马 aqtata@163.com
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
1 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
houseofcodes
2005-02-27
打赏
举报
回复
木马程序的隐藏技术
木马程序的服务器端,为了避免被发现,多数都要进行隐藏处理,下面让我们来看看木马是如何实现隐藏的。
说到隐藏,首先得先了解三个相关的概念:进程,线程和服务。我简单的解释一下。
进程:一个正常的Windows应用程序,在运行之后,都会在系统之中产生一个进程,同时,每个进程,分别对应了一个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配一个虚拟的内存空间地址段,一切相关的程序操作,都会在这个虚拟的空间中进行。
线程:一个进程,可以存在一个或多个线程,线程之间同步执行多种操作,一般地,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。
服务:一个进程当以服务的方式工作的时候,它将会在后台工作,不会出现在任务列表中,但是,在Windows NT/2000下,你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。
想要隐藏木马的服务器端,可以伪隐藏,也可以是真隐藏。伪隐藏,就是指程序的进程仍然存在,只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。
伪隐藏的方法,是比较容易实现的,只要把木马服务器端的程序注册为一个服务就可以了,这样,程序就会从任务列表中消失了,因为系统不认为他是一个进程,当按下Ctrl+Alt+Delete的时候,也就看不到这个程序。但是,这种方法只适用于Windows9x的系统,对于Windows NT,Windows 2000等,通过服务管理器,一样会发现你在系统中注册过的服务。难道伪隐藏的方法就真的不能用在Windows NT/2000下了吗?当然还有办法,那就是API的拦截技术,通过建立一个后台的系统钩子,拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,这样就实现了进程的隐藏,金山词霸等软件,就是使用了类似的方法,拦截了TextOutA,TextOutW函数,来截获屏幕输出,实现即时翻译的。同样,这种方法也可以用在进程隐藏上。
当进程为真隐藏的时候,那么这个木马的服务器部分程序运行之后,就不应该具备一般进程,也不应该具备服务的,也就是说,完全的溶进了系统的内核。也许你会觉得奇怪,刚刚不是说一个应用程序运行之后,一定会产生一个进程吗?的确,所以我们可以不把他做成一个应用程序,而把他做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。而这个应用程序对于系统来说,是一个绝对安全的程序,这样,就达到了彻底隐藏的效果,这样的结果,导致了查杀黑客程序难度的增加。
出于安全考虑,我只给出一种通过注册服务程序,实现进程伪隐藏的方法,对于更复杂,高级的隐藏方法,比如远程线程插入其他进程的方法,请参阅ShotGun的文章《NT系统下木马进程的隐藏与检测》。
WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int)
{
try
{
DWORD dwVersion = GetVersion();//取得Windows的版本号
if (dwVersion >= 0x80000000) // Windows 9x隐藏任务列表
{
int (CALLBACK *rsp)(DWORD,DWORD);
HINSTANCE dll=LoadLibrary("KERNEL32.DLL");//装入KERNEL32.DLL
rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口
rsp(NULL,1);//注册服务
FreeLibrary(dll);//释放DLL模块
}
}
catch (Exception &exception)//处理异常事件
{
//处理异常事件
}
return 0;
}
Android APP
隐藏
图标、无启动界面、
进程
隐藏
的方法
项目需求: 通过
隐藏
图标、无启动界面以及
进程
隐藏
的方式,尽可能降低APP的存在感。 一、入口图标
隐藏
(适用于Android 10以下) 查阅了很多资料,个人感觉比较靠谱的一种方法是使用隐式启动的方法去
隐藏
入口图标,...
进程
隐藏
技术系列之简介
什么是
进程
隐藏
? 对 Windows系统可以用自带的任务管理器,查看
进程
列表, 找出可疑
进程
。 恶意代码为了保护自己的
进程
不被发现,所以就有了
进程
隐藏
技术,用来对抗
进程
检测。 为什么需要
进程
隐藏
?
进程
隐藏
是病毒...
Windows10关闭
隐藏
的
自启动
软件
点击 “服务” 选项卡,勾选 ”
隐藏
所有 Microsoft 服务”,查找及取消勾选你所需要关闭
自启动
的项目 点击 ”启动” 选项卡,点击 ”打开任务管理器”,查找及右键禁用你所需要关闭
自启动
的项目并确定 重启电脑 .....
进程
隐藏
的各种方法 以及分析比较以及实现链接
典型
进程
隐藏
技术1 基于系统服务的
进程
隐藏
技术在 W I N 9X 系列操作系统中, 系统
进程
列表中不能看到任何系统服务
进程
, 因此只需要将指定
进程
注册为系统服务就能够使该
进程
从系统
进程
列表中隐形在win9x下用...
windows黑客编程技术之
隐藏
技术(
进程
伪装,傀儡
进程
,
进程
隐藏
)
windows黑客编程技术之
隐藏
技术(
进程
伪装,傀儡
进程
,
进程
隐藏
)
API
1,486
社区成员
23,279
社区内容
发帖
与我相关
我的任务
API
VB API
复制链接
扫一扫
分享
社区描述
VB API
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章