当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 浅析进程“伪隐藏”技术与实现两则

安全基础
实例讲解网站被入侵后需做的检测
网络安全基础 教你怎样关闭网络端口
反黑小技谋:IP地址的侦察和隐藏
网络管理员必读:无须重启的更改IP
网管必知 多角度详解网站安全保护方法
消除上网的恐惧:用网上隐身衣保护自己
无所遁形:快速查找对方IP经典技术汇
抵挡DoS远程连接让网络更安全
新手触网之安全工具
ADSL Modem防火墙的配置
妙用Spybot让间谍软件在你的电脑上无处遁形
电脑初级用户网络安全详尽全攻略
小方法:如何修改注册表清除黑客程序
与黑客过招:给自己的网络设防
推陈出新 防止IE浏览器主页被篡改又多一招
安全无忧:防范非法用户侵入系统的七招技巧
网管必备技巧—Windows日志的保护与伪造
木马和未授权远程控制软件的关闭
防范WinGate代理防火墙被攻击
谨防网络硕鼠 完全解析ADSL账号为何被盗

安全基础 中的 浅析进程“伪隐藏”技术与实现两则


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 53 ::
收藏到网摘: n/a

进程隐藏?干吗用?你不知道?我晕!进程隐藏技术多用于木马和病毒中(还用你说?!),用于提高其生存率。其实现方法因WIN系统架构不同而各异,一些常用方法资料很多,我在这里也就不多说啦!

   这里的"伪隐藏"指的是,虽然在"WINDOWS任务管理器"进程列表中可以看到其进程存在,但在硬盘中却找不到或者说不容易找到其相对应的程序文件。

   一:乾坤大挪移

   大家都知道,当一个程序正在运行时,WIN系统是不允许我们把其删除的(所以才会有人寻找程序自删除_blank>技术),但却不知大家是否注意到,在WIN2000中,当一个程序正在运行时,我们虽然不能把它删除,但我们却可以把程序文件在同一分区内移动位置以及重命名,你可以自己试验一下!这也就是"Windows文件保护"所使用的方法!试想,如果我们的程序在运行后,立即把自身移动位置并重命名,而在"WINDOWS任务管理器"进程列表中显示的却还是原来的程序名,那你又该如何来查找到其对应的程序文件呢?当然如果程序在内存中没有进行变形的话,你可以利用内存查看_blank>软件(如WINHEX)并利用查找功能来找到相对应的程序文件,但如果程序在内存中变形

,也可以说解密,使得内存映像和硬盘中的原程序文件不同,那我是暂时没法找出来啦!
   实现_blank>代码如下(MASM):

;进程隐藏之乾坤大挪移(只能在同分区内移动)

.386
.model flat, stdcall
option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
     .data?
selfname db MAX_blank>_PATH dup(?)
     .data
movename db "c:\mm.jpg",0
     .code
main:
invoke GetModuleFileName,NULL,addr selfname,MAX_blank>_PATH  ;得到自身路径
mov al, byte ptr selfname  ;得到所在分区
mov byte ptr movename,al  ;修正movename,使其在同分区内移动
invoke MoveFile,addr selfname,addr movename  ;把自身移动位置并改名
invoke  MessageBox,NULL,offset selfname,offset movename,MB_blank>_OK
invoke ExitProcess, NULL
end main

     本例程在WIN2000下调试通过,XP" target=_blank>XP和WIN2003应该也可以,请有条件的弟兄测试,WIN98和WINME不能用,与硬盘格式无关!