在WinNT下 "真正隐藏进程 "这一说法,可以讲是根本不可能实现,只要我们的程序是以进程内核的形式运行,都是不可能逃离CTRL+ALT+DEL的法眼。那么奇怪了,这岂不是与我们的标题《WinNT & Win2K下实现进程的完全隐藏》相矛盾吗?是的,实际上应该是:以非进程方式执行目标代码,而逃避进程查看器的检查,从而达到 "进程隐藏 "的目的。
我们在这里以线性的方式运行我们的代码。 这是一个非常容易理解的概念。 最初, 我们来创建一条不执行任何语句的线条 。
DWORD stdcall ThreadProc(LPVOID *lpVoid){
return 0;
}
在此之后, 线索代码将被传输到可以执行主机进程的任何位置( 即 PAGGE_ EXECUTE_ READWRITE 是页面属性) 。 例如, 在共享的内存投影区域, 在主机程序中 。 当复制时, 您必须使用主机程序中的虚拟 AlocEx 函数申请内存, 然后将线索写入主机进程 。
当我们完成上述任务后, 我们可以称之为“ 创建变换图示” 方法。 这里有一个例子 。
//远程线程执行体
DWORD __stdcall ThreadProc (void *lpPara){
return 0;
}
int main(int argc, char* argv[]){
Const DWORD THREADSIZE=1024*4;/ 临时线性尺寸为4K, 不那么大, 我稍后再介绍。
DWORD byte_write;
关于身份识别的方法 我没什么要说的
HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992);
if(!hWnd)return 0;
(hnd, 0, THREADSIZE, MEM_COMMIT, MEM_Reserve, PAGE_EXECUTE_REDWITE)
if(!pRemoteThread)return 0;
if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))//写入进程
return 0;
//启动线程
HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,NULL,0,&byte_write);
我不知道你在说什么 记忆分配和记忆分配
return 0;
}
return 0;
}
当我们到达时,我们完成秘密之路 相信我们见过的朋友 都非常了解这个概念
我们集中力量,在理解了隐藏的方法之后,开始写出线的操作部分。
DWORD __stdcall ThreadProc(void *lpPara){
MessageBox(NULL, "hello ", "hello ",0);
return 0;
}
编辑后为何出现非法操作错误? 我们将编辑“ wwin2K” 操作系统中的 PE 文件中的所有常数, 我们用段落内存管理 。 在数据部分中, 代码段是.. 在文本中, 我们复制到主机程序的代码是.. 文本中的代码, MesseBox (NULL, (char *) 指针, p. 0; 它提到的地址是此进程的内存虚拟地址。 无法在主机进程中访问它 。 解决方案将很简单, 旧式地复制目标进程及随后的引号 " hello " 。 simillarly, 当 Messbox 函数地址被编译时, 它会存储在.. in Export, 一位撰写 Win2k 病毒的朋友知道, 所有常数和函数条目地址都需要在代码段里定义和产生, 我们和他一样。 。 同样, 我们将此函数的条目地址写入目标进程 。
//先定义参数结构
_ remotePara 型号def 规则//参数结构
char pMessageBox[12];
DWORD dwMessageBox;
}RemotePara;
//付值
RemotePara myRemotePara;
::ZeroMemory(&myRemotePara,sizeof(RemotePara));
HINSTANCE hUser32 = ::LoadLibrary ( "user32.dll ");
myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA ");
strcat(myRemotePara.pMessageBox, "hello� ");