+设为首页 +添加到收藏夹
大家知道,在nt内核的操作系统中,要做进程的隐藏要比95/98下困难得多.目前网上流传的一般方法不外乎几种:
在这里我给大家提供一种新的,实际上很简单但却有效的方法,或者说思路,就是我们不像第二种方法那样欺骗系统,而只是欺骗观众:进程管理器使用一个listview32控件来显示进程,我们不妨把这个窗口子类化,接管它的行为,不让它显示我们要隐藏的进程. 【程序编程相关:用VC6.0实现超级链接】
很多做法是让程序运行在别的进程的地址空间里,也就是创建远程线程来工作.这种方法事实上已经可以有很出色的效果了.要是非要挑它有什么毛病的话,我们可以说那不叫作真正的进程隐藏,因为根本没有实际的进程存在. 还有一种很高深的方法,能做到真正的进程隐藏.它用到了一些windows没有公开的数据结构,这些资料我之前也没有见过(怪我太孤陋寡闻^_^!).它的原作者也一定是个牛人了.这个方法也很有霸气,它会得到系统的进程链然后从中删掉要隐藏的进程节点,那么所有的进程管理程序就都看不到它了.其中所提供的代码我没有试验过,也略表示怀疑,觉得这种程序是否只有在内核态才能正常运行.无论怎样,据作者的说法,这样做会造成windows运行不稳定,有时会出现窗口报错,而且因为使用了未公开的东西,具体原因也无从知道了. 再有我还能想到的方法,就是用全局的api钩子,或者至少对进程管理器下钩子,截获helptools之类进程枚举的api.这也只是想法,我没有试验过不保证它一定能工作.万一进程管理器使用的是未公开的api而并非你所挂钩的那些,这样做就是无效的.再有加全局api钩子的性能代价还是不小的. 【推荐阅读:MFC和ATL控件创建签署的CAB文件】
有了想法,实现过程就简单了.我们先用spy++跟踪一下这个窗口的消息,发现它的每个进程项是依照顺序从上到下填写进去的.我们只需要拦截住相应的填入动作就可以了.以下是剪下来的跟踪结果的一个片断,我们可以看看到底需要拦截哪些消息,相应的消息参数也要到msdn里去查一下.
... 下一页