7,785
社区成员
发帖
与我相关
我的任务
分享讨论一下VB如何获取隐藏进程的句柄,达到冰刃那样的效果?附送一个美萍机时终结者
美萍机时终结者代码如下
Private Sub Timer2_Timer()
Dim Handle As Long, FindClass As Long
hWnd1 = FindWindow(vbNullString, "Form1")
GetWindowThreadProcessId hWnd1, Handle
itshandle = OpenProcess(1, -1, Handle)
TerminateProcess itshandle, 0
CloseHandle itshandle
Timer2.Enabled = False
End Sub
Private Sub Command1_Click()
Timer2.Interval = 4000
Timer2.Enabled = True
Dim lHwnd As Long 'declare variables
lHwnd& = FindWindowEx(FindWindow("Shell_TrayWnd", ""), 0&, "Button", vbNullString)
Call EnableWindow(lHwnd&, CLng(Enabled))
ShowWindow lHwnd&, 1
End Sub
不多说什么 只提供代码用于什么于本人无关
再讨论一下VB如何获取隐藏进程的句柄
实际上你如果是通过写一个进程管理器是看不见美萍软件的进程的
估计他hook住了进程快照的函数,而且有提供过vb在任务管理器隐藏自身的代码
但是退出登陆的时候美萍肯定会有窗体出现
使用GetWindowThreadProcessId通过窗体句柄获取
如果没有窗体的话美萍进程的句柄还是不容易获取的,但是使用icesword还是可以获取美萍的进程句柄,因此想来讨论这个问题icesword的显示隐藏进程的原理是什么?如何用vb实现?
我在网络上搜索来一种这个办法 不过不知道vb如何实现
也可不用上面的办法,如果熟悉nt的内存结构,你可以直接VirtualQuery来遍历从0x10000开始走遍所有非GUARD和已被COMMIT的内存页面,其中一个页面必然含有模板的首地址(是一个IMAGE_DOS_HEADERS的Signature),通过这种方式找到Module.
一个Module的Handler就是它被装入内存影像的首地址,是一个IMAGE_DOS_HEADERS结构.如下代码可计算其此模块入口地址:
PIMAGE_DOS_HEADERS pDosHeader =(PIMAGE_DOS_HEADERS)hMyModule;
PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((PBYTE)pDosHeader +
pDosHeader->e_lfanew);
PBYTE pMyEntryPoint=(PBYTE)pNtHeader->OptionalHeader.AddressOfEntryPoint +
pNtHeader->OptionalHeader.ImageBase;
Private Sub Timer2_Timer()
Dim Handle As Long, FindClass As Long
hWnd1 = FindWindow(vbNullString, "Form1")
GetWindowThreadProcessId hWnd1, Handle
itshandle = OpenProcess(1, -1, Handle)
TerminateProcess itshandle, 0
CloseHandle itshandle
Timer2.Enabled = False
End Sub
Private Sub Command1_Click()
Timer2.Interval = 4000
Timer2.Enabled = True
Dim lHwnd As Long 'declare variables
lHwnd& = FindWindowEx(FindWindow("Shell_TrayWnd", ""), 0&, "Button", vbNullString)
Call EnableWindow(lHwnd&, CLng(Enabled))
ShowWindow lHwnd&, 1
End Sub
不多说什么 只提供代码用于什么于本人无关
再讨论一下VB如何获取隐藏进程的句柄
实际上你如果是通过写一个进程管理器是看不见美萍软件的进程的
估计他hook住了进程快照的函数,而且有提供过vb在任务管理器隐藏自身的代码
但是退出登陆的时候美萍肯定会有窗体出现
使用GetWindowThreadProcessId通过窗体句柄获取
如果没有窗体的话美萍进程的句柄还是不容易获取的,但是使用icesword还是可以获取美萍的进程句柄,因此想来讨论这个问题icesword的显示隐藏进程的原理是什么?如何用vb实现?
我在网络上搜索来一种这个办法 不过不知道vb如何实现
也可不用上面的办法,如果熟悉nt的内存结构,你可以直接VirtualQuery来遍历从0x10000开始走遍所有非GUARD和已被COMMIT的内存页面,其中一个页面必然含有模板的首地址(是一个IMAGE_DOS_HEADERS的Signature),通过这种方式找到Module.
一个Module的Handler就是它被装入内存影像的首地址,是一个IMAGE_DOS_HEADERS结构.如下代码可计算其此模块入口地址:
PIMAGE_DOS_HEADERS pDosHeader =(PIMAGE_DOS_HEADERS)hMyModule;
PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((PBYTE)pDosHeader +
pDosHeader->e_lfanew);
PBYTE pMyEntryPoint=(PBYTE)pNtHeader->OptionalHeader.AddressOfEntryPoint +
pNtHeader->OptionalHeader.ImageBase;
...全文
请发表友善的回复…
发表回复
wangfs111222 2006-07-16
- 打赏
- 举报
其实隐藏进程的很多都是hook相应的api来实现的。
越低层的隐藏的越好。
用vb操作起来太麻烦了 。
越低层的隐藏的越好。
用vb操作起来太麻烦了 。
一笑拔剑 2006-07-16
- 打赏
- 举报
还有讨论的不?
一笑拔剑 2006-07-15
- 打赏
- 举报
vc 获取ring0不需要驱动
我看过代码 但是翻译不成vb
直接内存指针操作的
我看过代码 但是翻译不成vb
直接内存指针操作的
boywang 2006-07-14
- 打赏
- 举报
多去看看rootkit,其实网上有很多文章的,不过大多都是e文的。
vb本身有先天的缺陷。很多代码(包括ddk)都是c描述的。vb这方面的确实很少。。。。。
对低层的操作(ring0)vb很难做到的,而且就算是vc也是要加了驱动(ddk)才实现的。
vb本身有先天的缺陷。很多代码(包括ddk)都是c描述的。vb这方面的确实很少。。。。。
对低层的操作(ring0)vb很难做到的,而且就算是vc也是要加了驱动(ddk)才实现的。
一笑拔剑 2006-07-14
- 打赏
- 举报
呵呵
估计是 但是上面那个思路也是可行的
还有一个比较笨的办法就算枚举句柄
从0开始一直到65255
估计是 但是上面那个思路也是可行的
还有一个比较笨的办法就算枚举句柄
从0开始一直到65255
verywzm 2006-07-14
- 打赏
- 举报
//vb版考虑底层的东西的人就是少阿....
主要是VB不适合做底层嘛,呵呵
主要是VB不适合做底层嘛,呵呵
verywzm 2006-07-14
- 打赏
- 举报
《icesword 驱动部分分析》
哦,找到了,就是这篇文章,不过估计用VB不好做,呵呵。
哦,找到了,就是这篇文章,不过估计用VB不好做,呵呵。
verywzm 2006-07-14
- 打赏
- 举报
上次看过一篇文章,好象icesword是靠特征码来定位内存中一个进程表,具体忘了。
不过好象已经有人研究出利用伪造内核文件来绕过IceSword的检测,达到隐藏进程目的的方法。
不过好象已经有人研究出利用伪造内核文件来绕过IceSword的检测,达到隐藏进程目的的方法。
一笑拔剑 2006-07-14
- 打赏
- 举报
vb版考虑底层的东西的人就是少阿....
一笑拔剑 2006-07-14
- 打赏
- 举报
隐藏的
枚举系统进程谁不会阿
枚举系统进程谁不会阿
DemonXHunter 2006-07-14
- 打赏
- 举报
用API,看看Windows 核心编程,里面有将如何枚举操作系统进程。
一笑拔剑 2006-07-14
- 打赏
- 举报
你这不废话阿
我知道怎么隐藏
看清楚文章
我讨论的是如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取
我知道怎么隐藏
看清楚文章
我讨论的是如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
如何获取隐藏进程的句柄
获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取获取
lc_mtt 2006-07-14
- 打赏
- 举报
不是有vb隐藏进程的代码了吗?好像是在2000下可以隐藏。另外xp下的话,可以用csdn网友提供的一个vc开发的链接库来实现。自己查找一下以前的帖子就知道了。
