在WinNT下 "真正隱藏進程 "這一說法，可以講是根本不可能實現(xiàn)，只要我們的程序是以進程內核的形式運行，都是不可能逃離CTRL+ALT+DEL的法眼。那么奇怪了，這豈不是與我們的標題《WinNT   &   Win2K下實現(xiàn)進程的完全隱藏》相矛盾嗎？是的，實際上應該是：以非進程方式執(zhí)行目標代碼，而逃避進程查看器的檢查，從而達到 "進程隱藏 "的目的。
我們這里用的，是在宿主進程中，以線程的方式執(zhí)行我們的代碼。實現(xiàn)起來非常簡單。首先，我們先建立一個不執(zhí)行任何語句的線程

然后，將線程代碼拷備至宿主進程所能夠執(zhí)行的任何地方(即頁面屬性為PAGGE_EXECUTE_READWRITE)，如：共享內存影射區(qū)、宿主進程內。這里我們選擇宿主進程，拷備的時侯，我們需要先在宿主進程中使用VirtualAllocEx函數(shù)申請一段內存，然后再使用WriteProcessMemory將線程體寫入宿主進程中。
以上工作完成后，我們便可CreateRemoteThread函數(shù)激活其執(zhí)行。下面給出一個完整的例子

到這里，對于隱藏的方法就算告一段落，相信看過的朋友對這個思路有個非常明確的概念了吧。 

在理解隱藏的方法后，我們著重開始寫線程的執(zhí)行部分了。如下：

編譯執(zhí)行后，你會發(fā)現(xiàn)出現(xiàn)一個非法操作錯誤，為什么呢？在我們以段頁式內存管理的win2K操作系統(tǒng)中，編譯時會把所有的常量編譯在PE文件的.data節(jié)中，而代碼段則在.text中，所以，我們拷備到宿主進程中的代碼是在.text中的代碼，MessageBox(NULL,(char   *)指針,p,0);所指向的地址是本進程的內存虛擬地址。而在宿主進程中是無法訪問的。解決的方法很簡單，按舊照搬的將 "hello "也拷備到目標進程中，然后再引用。同理，MessageBox函數(shù)地址編譯時，也是保存在.Import中，寫過Win2k病毒的朋友都知道，所有常量與函數(shù)入口地址都需在代碼段定義與得出，我們這里也與他有點類似。言歸正傳，同樣情況我們也把函數(shù)的入口地址一起寫入目標進程中。

最新評論