16,551
社区成员
发帖
与我相关
我的任务
分享进程隐藏代码的问题,用过以下代码的请进来一下!有分送!
hNtDLL = LoadLibrary( "ntdll.dll" );
if ( !hNtDLL )
{
return FALSE;
}
RtlInitUnicodeString =
(CProcessHide::RTLINITUNICODESTRING)GetProcAddress( hNtDLL, "RtlInitUnicodeString");
ZwOpenSection =
(CProcessHide::ZWOPENSECTION)GetProcAddress( hNtDLL, "ZwOpenSection");
我用以上的代码,整个代码我就不全部列出来,就是网上到处都有的,实现进程隐藏,
可是我出现以下的问题,在2000 pro系统下。
1,有的机器可以正常的运行,并且正常的隐藏进程;
2,有的机器可以正常的运行,不过不能正常的隐藏进程;
3,有的及其不能正常运行,出现“正在创建错误日志“的错误,程序不能起来。
以上的情况都发生在2000pro的系统下。
如果我在不能正常运行的机器上装上vc,则就变成正常运行,并且正常隐藏。
我的问题是:
1,以上的代码是不是跟以来的dll有关?如果机器上不是某个版本的话,就不支持?
2,如果真的有关,怎么解决?
谢谢大家,我会另外发贴给解决者另外的200分!
if ( !hNtDLL )
{
return FALSE;
}
RtlInitUnicodeString =
(CProcessHide::RTLINITUNICODESTRING)GetProcAddress( hNtDLL, "RtlInitUnicodeString");
ZwOpenSection =
(CProcessHide::ZWOPENSECTION)GetProcAddress( hNtDLL, "ZwOpenSection");
我用以上的代码,整个代码我就不全部列出来,就是网上到处都有的,实现进程隐藏,
可是我出现以下的问题,在2000 pro系统下。
1,有的机器可以正常的运行,并且正常的隐藏进程;
2,有的机器可以正常的运行,不过不能正常的隐藏进程;
3,有的及其不能正常运行,出现“正在创建错误日志“的错误,程序不能起来。
以上的情况都发生在2000pro的系统下。
如果我在不能正常运行的机器上装上vc,则就变成正常运行,并且正常隐藏。
我的问题是:
1,以上的代码是不是跟以来的dll有关?如果机器上不是某个版本的话,就不支持?
2,如果真的有关,怎么解决?
谢谢大家,我会另外发贴给解决者另外的200分!
...全文
请发表友善的回复…
发表回复
Atry 2005-12-22
- 打赏
- 举报
个人建议还是用dll做进程隐藏,技术成熟。问题少。
DrSmart 2005-12-21
- 打赏
- 举报
要隐藏native api是不够的,你最好修改进程句柄表,进程调度表比较好
cococut 2005-12-21
- 打赏
- 举报
有没有用过这段代码的?
lzzqqq 2005-12-20
- 打赏
- 举报
有些黑客的味道,不过我更喜欢用远程线程注射来搞类似的东东...
wangk 2005-12-20
- 打赏
- 举报
msvcrt.dll可以替换,不能删除。
系统保护了这个文件。就像你用双系统,删除了Winlogon.exe重进后又恢复了。
系统保护了这个文件。就像你用双系统,删除了Winlogon.exe重进后又恢复了。
cococut 2005-12-20
- 打赏
- 举报
char tmpbuf[260];
GetSystemDirectory(tmpbuf,260);
CString strSys = (CString)tmpbuf;
strSys += "\\msvcrt.dll";
if( !MoveFileEx(strSys,NULL,MOVEFILE_DELAY_UNTIL_REBOOT))
AfxMessageBox("MoveFileEx Error");
运行以上代码后,机器重启,还是无法删除msvcrt.dll文件?
为什么?msvcrt.dll删不掉吗?
GetSystemDirectory(tmpbuf,260);
CString strSys = (CString)tmpbuf;
strSys += "\\msvcrt.dll";
if( !MoveFileEx(strSys,NULL,MOVEFILE_DELAY_UNTIL_REBOOT))
AfxMessageBox("MoveFileEx Error");
运行以上代码后,机器重启,还是无法删除msvcrt.dll文件?
为什么?msvcrt.dll删不掉吗?
cococut 2005-12-20
- 打赏
- 举报
UP ,关注!
HelloIvan2005 2005-12-20
- 打赏
- 举报
up
cococut 2005-12-20
- 打赏
- 举报
to jpsr:
我这边都没有这样的问题。
我的代码现在可以运行在所有安装vc6.0的系统上,包括98,xp,2000,2003,
不过如果不安装vc,有的可以,有的不行。不知道为什么?正在找中,不过没有你说的情况。呵呵
我这边都没有这样的问题。
我的代码现在可以运行在所有安装vc6.0的系统上,包括98,xp,2000,2003,
不过如果不安装vc,有的可以,有的不行。不知道为什么?正在找中,不过没有你说的情况。呵呵
jpsr 2005-12-20
- 打赏
- 举报
我这边发现个问题,不知道楼主有没有碰到过。
你的那个代码我在xp上可以正常用的,但是在这个进程之后的其他所有进程都将会被隐藏,我记得这个是对进程链表的改动,然后你运行10分钟后看看,我机器上运行10分钟左右就肯定蓝屏了。
你的那个代码我在xp上可以正常用的,但是在这个进程之后的其他所有进程都将会被隐藏,我记得这个是对进程链表的改动,然后你运行10分钟后看看,我机器上运行10分钟左右就肯定蓝屏了。
cococut 2005-12-20
- 打赏
- 举报
问题还真不是很简单,我把依赖的所有dll都替换掉,
包括:
mfc42.dll
msvcrt.dll
advapi32.dll
rpcrt4.dll
ntdll.dll
user32.dll
kernel32.dll
gdi32.dll
还是不能隐藏起来。
我怀疑是ntdll.dll的问题,不过我替换后,还是不行。
如果我在该机器上装vc6.0就可以。
请问装vc6.0和替换以上的dll有什么不同?
谢谢!
包括:
mfc42.dll
msvcrt.dll
advapi32.dll
rpcrt4.dll
ntdll.dll
user32.dll
kernel32.dll
gdi32.dll
还是不能隐藏起来。
我怀疑是ntdll.dll的问题,不过我替换后,还是不行。
如果我在该机器上装vc6.0就可以。
请问装vc6.0和替换以上的dll有什么不同?
谢谢!
oyljerry 2005-12-20
- 打赏
- 举报
系统一些文件进行了系统保护,不是那么容易删除的
wangk 2005-12-19
- 打赏
- 举报
1.移动文件成临时文件(改变路径)。
2.复制文件
这样不就替换了?
2.复制文件
这样不就替换了?
cococut 2005-12-19
- 打赏
- 举报
to wangk(倒之), MoveFileEx能贴换文件吗?好像只能删除!
Atomictry 2005-12-19
- 打赏
- 举报
小强,你又学坏了。
wangk 2005-12-19
- 打赏
- 举报
可以用MoveFileEx加上MOVEFILE_DELAY_UNTIL_REBOOT标记,可以在重启后替换掉正在使用的文件。
caucyniu 2005-12-19
- 打赏
- 举报
搂住在写病毒啊
cococut 2005-12-19
- 打赏
- 举报
该 exe依赖的 dll有:mfc42.dll,msvcrt.dll
有些dll如果操作系统在用的话,是替换不了的!
不知道该怎么办?
有些dll如果操作系统在用的话,是替换不了的!
不知道该怎么办?
123BMW666 2005-12-19
- 打赏
- 举报
如果真的有关,把dll打包安装时进行替换就行了
