WEB开发网
开发学院软件开发VC WinNT & Win2K下实现进程的完全隐藏 阅读

WinNT & Win2K下实现进程的完全隐藏

 2006-07-19 11:36:57 来源:WEB开发网   
核心提示: 3、权限,这一点很重要,WinNT & Win2K下实现进程的完全隐藏(5),shotgun在这方面也介绍得很清楚了,网上相关的文章也很多,希望对大家能够有所帮助,愿与所有爱好计算机,我就不多说了,文中的EnableDebugPriv函数可使本进程在internet、winLogin、ls

3、权限,这一点很重要,shotgun在这方面也介绍得很清楚了,网上相关的文章也很多,我就不多说了。文中的EnableDebugPriv函数可使本进程在internet、winLogin、lsass等进程中创建线程。win2k的进程查看器无法将其杀除。

4、进程ID获方法较多,如:EnumProcesses、CreateToolhelp32Snapshot/Process32First/Process32Next、NtQuerySystemInformation等函数均可,为减少代码,例子中的进程ID是直接在进程查看器中得到的。

最后,我们再回到shotgun的文章中,这时侯我们因已经非常清楚他的方法中为何会多出一个DLL文件了。远程线程的线程体本身就是LoadLibrary函数,即,线程的入口地址就是LoadLibrary的入口地址,这是系统Kernel32.dll中的函数,任何进程都可调用。线程中使用LoadLibrary函数将我们的DLL加载到系统空间内,线程一执行,我们的DLL就开始工作了。线程执行结束后,别忘了使用VirtualFreeEx将其申请的内存区释放。

两种方法一比较,很明显:

1、在使用DLL时,创建十分简单,也不需要太多的操作系统与内存操作知识,并可直接调试DLL文件。实现起来比较简单。

2、直接拷备到进程中的方法稍为复杂一点,一不小心,很容易出现非法操作。当然,也去掉那了个让人讨厌DLL文件。程序执行后,很难找到他的来源地,是除了病毒以外的木马隐藏的首选方法。

这里我大量参考了nongmin.cn(农民)程序的源码,他的程序对我的帮助非常大。虽然未有谋面,但对他的计算机水平与作为十分的敬佩,并尊从他的作风,以后我所写的所有非商业软件或小代码,均以源码形式出现。这里写得有点乱,希望对大家能够有所帮助,愿与所有爱好计算机,从事计算机工作的朋友们共勉。

上一页  1 2 3 4 5 

Tags:WinNT WinK 实现

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接