社区
Delphi
帖子详情
怎样在Windows NT下隐藏进程???
lingice
2001-04-18 11:42:00
请问怎样在Windows NT下隐藏进程???
可以实现吗?我的一个程序需要这种功能,我在Win98下已经实现了,可在NT下不行!
请各位大虾指点迷经!!!
谢谢!
...全文
79
1
打赏
收藏
怎样在Windows NT下隐藏进程???
请问怎样在Windows NT下隐藏进程??? 可以实现吗?我的一个程序需要这种功能,我在Win98下已经实现了,可在NT下不行! 请各位大虾指点迷经!!! 谢谢!
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
1 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
一百减一
2001-04-18
打赏
举报
回复
这个问题我也急需要解决的,有哪位知道的,请给我发一份好吗我 B_yi@263.net
在Win7x64下
隐藏
进程
和保护
进程
在Win7x64下
隐藏
进程
和保护
进程
的代码,我还上传了相关文档,欢迎下载
隐藏
进程
RegisterServiceProcess函数使用
9x或2000下用RegisterServiceProcess函数
隐藏
进程
,
NT
架构下用不了
5种方法得到所有
进程
名(包括
隐藏
进程
)
VB使用5种方法得到所有
进程
名(包括
隐藏
进程
),2000系统下可能不能使用,判断系统版本如果是2K以下的系统就报错退出,获取Debug权限这是必须的。获取常规下的
进程
,打印
进程
、判断指定
进程
是否为
隐藏
进程
…… 以下5种方法在
Windows
NT
各个版本上都有:
NT
5.1 新增的: 获取KdVersionBlock,从内核空间拷贝到用户空间,或者从用户空间拷贝到用户空间,但是不能从用户空间拷贝到内核空间,从物理地址拷贝到用户空间,不能写到内核空间,读写处理器相关控制块,读写端口,读写总线数据,枚举Kernel Module函数,判断
Nt
系列函数是否调用成功,创建一个ACE,允许当前用户读写PhysicalMemory
木马/后门程序在WIN
NT
中
进程
隐藏
和查找的方法
在WIN9X中,只需要将
进程
注册为系统服务就能够从
进程
查看器中隐形,可是这一切在WIN
NT
中却完全不同,无论木马从端口、启动文件上如何巧妙地
隐藏
自己,始终都不能欺骗WIN
NT
的任务管理器,以至于很多的朋友问我:在WIN
NT
下难道木马真的再也无法
隐藏
自己的
进程
了?本文试图通过探讨WIN
NT
中木马的几种常用
隐藏
进程
手段,给大家揭示木马/后门程序在WIN
NT
中
进程
隐藏
的方法和查找的途径。 我们知道,在
WINDOWS
系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,会生成一个独立的
进程
,查找特定
进程
是我们发现木马的主要方法之一(无论手动还是防火墙),随着入侵检测软件的
6种
进程
防杀方案和源码.rar
09年初刚到现在这家公司,头让做一个
进程
防杀的功能,为了保护我们的软件的服务程序,类似360或瑞星这样的安全产品都有
进程
防杀的功能。研究了一个多月,总结网上的各种防杀方法并参考其代码,特此将各种实现方法归纳为以下6种,并将其对应源码奉上。 源码全部经过自己修改调试,部分为原创,在vs2005下调试通过,在各种
windows
操作系统下测试过 1. ring3提升线程为系统线程 原理:
windows
在强制结束
进程
的时候会先结束掉所有的线程,把程序的线程改成系统线程,就可以达到防杀的目的 优点:ring3实现的
进程
防杀,无驱动无hook,原理及代码都较为简单,能防止任务管理器杀掉
进程
缺点:只能下xp下有效(与xp打的补丁也有关,有的xp系统会失败)防杀能力有限,例如不能防住IceSword等工具 该方法是参考了csdn一位朋友的做法,原文地址为 http://blog.csdn.net/KeSummer/archive/2008/05/18/2455379.aspx 2.hookApi之
Nt
QuerySystemInformation 原理:hook
Nt
QuerySystemInformation 来
隐藏
进程
优点:ring3实现的
进程
隐藏
,无驱动,能在任务管理器里
隐藏
进程
缺点:只能在
nt
2000下
隐藏
进程
,通用性较差 3.detours库实现
进程
防杀 原理:和2类似,hook OpenProcess 来防杀
进程
优点:防杀能力和通用性都较强,在
nt
2000,xp,2003均可防杀 缺点:hookApi是用detours库来实现的,2008下防杀失败,不能防住某些
进程
工具 4.hook任务管理器结束
进程
事件 原理:挂钩任务管理器窗口,利用CBT钩子拦截结束
进程
消息 优点:通用性较强,任意的
windows
平台均可防止任务管理器杀
进程
缺点:只能针对
windows
任务管理起到防杀作用 5.双
进程
保护 原理:主
进程
和守护
进程
互相监控,发现对方不在就启动对方。为了避免父子
进程
关系,主
进程
启动临时
进程
,临时
进程
启动守护
进程
优点:通用性较强,保护能力较强,可保护
windows
服务程序。hook防杀需要主程序和桌面交互的,而服务程序是不和桌面交互的 缺点:非真正的防杀,只是杀了又启,手段有点不入流 6.驱动级
进程
保护 原理:驱动级的ZwQuerySystemInformation hook,来
隐藏
或防杀
进程
优点:防杀能力较强,在IceSword 1.2.2版本下测试通过 缺点:加载有驱动,程序实现较为复杂,驱动级hook被360等杀毒工具检测为木马 yipihaoma qq:49489047
Delphi
5,928
社区成员
262,931
社区内容
发帖
与我相关
我的任务
Delphi
Delphi 开发及应用
复制链接
扫一扫
分享
社区描述
Delphi 开发及应用
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章