windows任務(wù)管理器中隱藏進(jìn)程的方法

在WinNT下 "真正隱藏進(jìn)程 "這一說法,可以講是根本不可能實(shí)現(xiàn),只要我們的程序是以進(jìn)程內(nèi)核的形式運(yùn)行,都是不可能逃離CTRL+ALT+DEL的法眼。那么奇怪了,這豈不是與我們的標(biāo)題《WinNT & Win2K下實(shí)現(xiàn)進(jìn)程的完全隱藏》相矛盾嗎?是的,實(shí)際上應(yīng)該是:以非進(jìn)程方式執(zhí)行目標(biāo)代碼,而逃避進(jìn)程查看器的檢查,從而達(dá)到 "進(jìn)程隱藏 "的目的。
我們這里用的,是在宿主進(jìn)程中,以線程的方式執(zhí)行我們的代碼。實(shí)現(xiàn)起來非常簡單。首先,我們先建立一個(gè)不執(zhí)行任何語句的線程
DWORD stdcall ThreadProc(LPVOID *lpVoid){
return 0;
}
然后,將線程代碼拷備至宿主進(jìn)程所能夠執(zhí)行的任何地方(即頁面屬性為PAGGE_EXECUTE_READWRITE),如:共享內(nèi)存影射區(qū)、宿主進(jìn)程內(nèi)。這里我們選擇宿主進(jìn)程,拷備的時(shí)侯,我們需要先在宿主進(jìn)程中使用VirtualAllocEx函數(shù)申請(qǐng)一段內(nèi)存,然后再使用WriteProcessMemory將線程體寫入宿主進(jìn)程中。
以上工作完成后,我們便可CreateRemoteThread函數(shù)激活其執(zhí)行。下面給出一個(gè)完整的例子
//遠(yuǎn)程線程執(zhí)行體
DWORD __stdcall ThreadProc (void *lpPara){
return 0;
}
int main(int argc, char* argv[]){
const DWORD THREADSIZE=1024*4;//暫定線程體大小為4K,實(shí)際上沒這么大,稍后我將會(huì)介紹
DWORD byte_write;
//獲得指定進(jìn)程ID句柄,并設(shè)其權(quán)限為PROCESS_ALL_ACCESS,992是宿進(jìn)程的ID號(hào),獲取ID號(hào)的方法這里我就不多講了
HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992);
if(!hWnd)return 0;
void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);//申請(qǐng)
if(!pRemoteThread)return 0;
if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))//寫入進(jìn)程
return 0;
//啟動(dòng)線程
HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,NULL,0,&byte_write);
if(!hThread){ //還有內(nèi)存分配未釋放
return 0;
}
return 0;
}
到這里,對(duì)于隱藏的方法就算告一段落,相信看過的朋友對(duì)這個(gè)思路有個(gè)非常明確的概念了吧。
在理解隱藏的方法后,我們著重開始寫線程的執(zhí)行部分了。如下:
DWORD __stdcall ThreadProc(void *lpPara){
MessageBox(NULL, "hello ", "hello ",0);
return 0;
}
編譯執(zhí)行后,你會(huì)發(fā)現(xiàn)出現(xiàn)一個(gè)非法操作錯(cuò)誤,為什么呢?在我們以段頁式內(nèi)存管理的win2K操作系統(tǒng)中,編譯時(shí)會(huì)把所有的常量編譯在PE文件的.data節(jié)中,而代碼段則在.text中,所以,我們拷備到宿主進(jìn)程中的代碼是在.text中的代碼,MessageBox(NULL,(char *)指針,p,0);所指向的地址是本進(jìn)程的內(nèi)存虛擬地址。而在宿主進(jìn)程中是無法訪問的。解決的方法很簡單,按舊照搬的將 "hello "也拷備到目標(biāo)進(jìn)程中,然后再引用。同理,MessageBox函數(shù)地址編譯時(shí),也是保存在.Import中,寫過Win2k病毒的朋友都知道,所有常量與函數(shù)入口地址都需在代碼段定義與得出,我們這里也與他有點(diǎn)類似。言歸正傳,同樣情況我們也把函數(shù)的入口地址一起寫入目標(biāo)進(jìn)程中。
//先定義參數(shù)結(jié)構(gòu)
typedef struct _RemotePara{//參數(shù)結(jié)構(gòu)
char pMessageBox[12];
DWORD dwMessageBox;
}RemotePara;
//付值
RemotePara myRemotePara;
::ZeroMemory(&myRemotePara,sizeof(RemotePara));
HINSTANCE hUser32 = ::LoadLibrary ( "user32.dll ");
myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA ");
strcat(myRemotePara.pMessageBox, "hello\0 ");
相關(guān)文章
WebStorm如何調(diào)試Vue項(xiàng)目? webstorm配置vue開發(fā)環(huán)境指南
WebStorm 支持多種調(diào)試工具,包括瀏覽器的開發(fā)者工具,但本文主要講解的是使用 WebStorm 自帶的調(diào)試功能2025-04-15VSCode和webstorm怎么設(shè)置綠色護(hù)眼背景? 綠豆沙背景色的設(shè)置方法
護(hù)眼色一定程度能保護(hù)眼睛,緩解疲勞,VSCode和webstorm這兩款常用的軟件怎么設(shè)置護(hù)眼色呢?詳細(xì)請(qǐng)看下文介紹2025-04-15WebStorm常用插件以及實(shí)用設(shè)置分享
WebStorm本身已經(jīng)足夠強(qiáng)大,但一些優(yōu)秀的插件能錦上添花,顯著提升開發(fā)效率,詳細(xì)請(qǐng)看下文介紹2025-04-15如何安裝配置WebStorm? WebStorm安裝與使用全方位指南
WebStorm軟件在前端和后端開發(fā)領(lǐng)域都備受青睞,很多朋友不知道該怎么下載安裝,下面我們就來看看詳細(xì)的安裝配置教程2025-04-15Webstorm怎么配置? Webstorm入門之軟件配置教程
WebStorm是一款功能強(qiáng)大的集成開發(fā)環(huán)境(IDE),支持各種前端開發(fā)技術(shù),今天我們就來看看Webstorm的配置教程2025-04-15Webstorm怎么設(shè)置字體大小/背景顏色/背景圖片?
WebStorm 允許您自定義界面顏色,以創(chuàng)建更個(gè)性化和美觀的工作空間,今天我們就來看看Webstorm改變字體大小、背景顏色、設(shè)置背景圖片的方法2025-04-15- VScode上安裝PlatformIO插件能成功安裝,嘗試卸載VScode并刪除插件,這些錯(cuò)誤仍然存在,下面我們就來看看這個(gè)問題的解決辦法2025-04-03
提升代碼搜索效率! VSCode里DeepSeek插件安裝與配置指南
今天我們將向大家介紹如何在Visual Studio Code中安裝并配置 DeepSeek 插件,幫助你更高效地進(jìn)行代碼搜索2025-04-07提升你的編程效率! VSCode的初級(jí)使用教程超詳細(xì)版
VSCode是一款免費(fèi)且開源的代碼編輯器,因其強(qiáng)大的功能和良好的用戶體驗(yàn)而廣受歡迎,本文將詳細(xì)介紹 VSCode 的基本使用方法,并通過插圖幫助你更好地理解2025-04-03- 今天我們來聊聊如何安裝和配置VS Code,讓它成為你編程路上的得力助手,這個(gè)過程其實(shí)很簡單,只要跟著我的步驟走,你絕對(duì)能搞定2025-04-03