「进程隐藏」进程隐藏器安卓
今天小编给各位分享进程隐藏的知识,文中也会对其知识点进行延伸解释,如果文章内容对您有帮助,别忘了关注本站,现在进入正文!
内容导航:
一、怎样隐藏进程
隐藏系统进程步骤: 1、进入计算机,打开任意一个文件夹,然后再点击顶部菜单上的“查看”,或者按"ALT键"弹出工具栏。 2、点击查看。 3、勾选隐藏的项目,如果需要取消显示隐藏,取消勾选“隐藏的项目”即可。
二、怎么隐藏进程
下载HideWindowPlus,可以隐藏.和老板键一样.注意,要无毒的,网上有些挂马了. 多特软件站为上品. 老兄,你的那位老兄一定说错了.不过按你说的这么干其实也不是不行,只是你得联系九游让他们把奇迹的源码给你,然后你再编译加入隐藏进程的代码,否则不可能. 头文件如下: classCHideProcss { public: CHideProcss(); BOOLHideProcess(); virtual~CHideProcss(); private: BOOLInitNTDLL(); BOOLYHideProcess(); VOIDCloseNTDLL(); VOIDSetPhyscialMemorySectionCanBeWrited(HANDLEhSection); HANDLEOpenPhysicalMemory(); PVOIDLinearToPhys(PULONGBaseAddress,PVOIDaddr); ULONGGetData(PVOIDaddr); BOOLSetData(PVOIDaddr,ULONGdata); long__stdcallexeception(struct_EXCEPTION_POINTERS*tmp); }; 2。CPP文件如下 //HideProcss.cpp:implementationoftheCHideProcssclass. //进程隐藏程序 //要隐藏时调用HideProcess即可 ////////////////////////////////////////////////////////////////////// #include"stdafx.h" #include"HideProcss.h" #include #include #include #ifdef_DEBUG #undefTHIS_FILE staticcharTHIS_FILE[]=__FILE__; #definenewDEBUG_NEW #endif #defineNT_SUCCESS(Status)((NTSTATUS)(Status)>=0) #defineSTATUS_INFO_LENGTH_MISMATCH((NTSTATUS)0xC0000004L) #defineSTATUS_ACCESS_DENIED((NTSTATUS)0xC0000022L) typedefLONGNTSTATUS; typedefstruct_IO_STATUS_BLOCK { NTSTATUSStatus; ULONGInformation; }IO_STATUS_BLOCK,*PIO_STATUS_BLOCK; typedefstruct_UNICODE_STRING { USHORTLength; USHORTMaximumLength; PWSTRBuffer; }UNICODE_STRING,*PUNICODE_STRING; #defineOBJ_INHERIT0x00000002L #defineOBJ_PERMANENT0x00000010L #defineOBJ_EXCLUSIVE0x00000020L #defineOBJ_CASE_INSENSITIVE0x00000040L #defineOBJ_OPENIF0x00000080L #defineOBJ_OPENLINK0x00000100L #defineOBJ_KERNEL_HANDLE0x00000200L #defineOBJ_VALID_ATTRIBUTES0x000003F2L typedefstruct_OBJECT_ATTRIBUTES { ULONGLength; HANDLERootDirectory; PUNICODE_STRINGObjectName; ULONGAttributes; PVOIDSecurityDescriptor; PVOIDSecurityQualityOfService; }OBJECT_ATTRIBUTES,*POBJECT_ATTRIBUTES; typedefNTSTATUS(CALLBACK*ZWOPENSECTION)( OUTPHANDLESectionHandle, INACCESS_MASKDesiredAccess, INPOBJECT_ATTRIBUTESObjectAttributes ); typedefVOID(CALLBACK*RTLINITUNICODESTRING)( INOUTPUNICODE_STRINGDestinationString, INPCWSTRSourceString ); RTLINITUNICODESTRINGRtlInitUnicodeString; ZWOPENSECTIONZwOpenSection; HMODULEg_hNtDLL=NULL; PVOIDg_pMapPhysicalMemory=NULL; HANDLEg_hMPM=NULL; OSVERSIONINFOg_osvi; //--------------------------------------------------------------------------- ////////////////////////////////////////////////////////////////////// //Construction/Destruction ////////////////////////////////////////////////////////////////////// CHideProcss::CHideProcss() { } CHideProcss::~CHideProcss() { } BOOLCHideProcss::InitNTDLL() { g_hNtDLL=LoadLibrary("ntdll.dll"); if(NULL==g_hNtDLL) returnFALSE; RtlInitUnicodeString=(RTLINITUNICODESTRING)GetProcAddress(g_hNtDLL, "RtlInitUnicodeString"); ZwOpenSection=(ZWOPENSECTION)GetProcAddress(g_hNtDLL,"ZwOpenSection"); returnTRUE; } //--------------------------------------------------------------------------- VOIDCHideProcss::CloseNTDLL() { if(NULL!=g_hNtDLL) FreeLibrary(g_hNtDLL); g_hNtDLL=NULL; } //--------------------------------------------------------------------------- VOIDCHideProcss::SetPhyscialMemorySectionCanBeWrited(HANDLEhSection) { PACLpDacl=NULL; PSECURITY_DESCRIPTORpSD=NULL; PACLpNewDacl=NULL; DWORDdwRes=GetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL, NULL,&pDacl,NULL,&pSD); if(ERROR_SUCCESS!=dwRes) { if(pSD) LocalFree(pSD); if(pNewDacl) LocalFree(pNewDacl); } EXPLICIT_ACCESSea; RtlZeroMemory(&ea,sizeof(EXPLICIT_ACCESS)); ea.grfAccessPermissions=SECTION_MAP_WRITE; ea.grfAccessMode=GRANT_ACCESS; ea.grfInheritance=NO_INHERITANCE; ea.Trustee.TrusteeForm=TRUSTEE_IS_NAME; ea.Trustee.TrusteeType=TRUSTEE_IS_USER; ea.Trustee.ptstrName="CURRENT_USER"; dwRes=SetEntriesInAcl(1,&ea,pDacl,&pNewDacl); if(ERROR_SUCCESS!=dwRes) { if(pSD) LocalFree(pSD); if(pNewDacl) LocalFree(pNewDacl); } dwRes=SetSecurityInfo (hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL); if(ERROR_SUCCESS!=dwRes) { if(pSD) LocalFree(pSD); if(pNewDacl) LocalFree(pNewDacl); } } //--------------------------------------------------------------------------- HANDLECHideProcss::OpenPhysicalMemory() { NTSTATUSstatus; UNICODE_STRINGphysmemString; OBJECT_ATTRIBUTESattributes; ULONGPhyDirectory; g_osvi.dwOSVersionInfoSize=sizeof(OSVERSIONINFO); GetVersionEx(&g_osvi); if(5!=g_osvi.dwMajorVersion) returnNULL; switch(g_osvi.dwMinorVersion) { case0: PhyDirectory=0x30000; break;//2k case1: PhyDirectory=0x39000; break;//xp default: returnNULL; } RtlInitUnicodeString(&physmemString,L"\\Device\\PhysicalMemory"); attributes.Length=sizeof(OBJECT_ATTRIBUTES); attributes.RootDirectory=NULL; attributes.ObjectName=&physmemString; attributes.Attributes=0; attributes.SecurityDescriptor=NULL; attributes.SecurityQualityOfService=NULL; status=ZwOpenSection(&g_hMPM,SECTION_MAP_READ|SECTION_MAP_WRITE,&attributes); if(status==STATUS_ACCESS_DENIED) { status=ZwOpenSection(&g_hMPM,READ_CONTROL|WRITE_DAC,&attributes); SetPhyscialMemorySectionCanBeWrited(g_hMPM); CloseHandle(g_hMPM); status=ZwOpenSection(&g_hMPM,SECTION_MAP_READ|SECTION_MAP_WRITE,&attributes); } if(!NT_SUCCESS(status)) returnNULL; g_pMapPhysicalMemory=MapViewOfFile(g_hMPM,FILE_MAP_READ|FILE_MAP_WRITE,0,PhyDirectory, 0x1000); if(g_pMapPhysicalMemory==NULL) returnNULL; returng_hMPM; } //--------------------------------------------------------------------------- PVOIDCHideProcss::LinearToPhys(PULONGBaseAddress,PVOIDaddr) { ULONGVAddr=(ULONG)addr,PGDE,PTE,PAddr; PGDE=BaseAddress[VAddr>>22]; if(0==(PGDE&1)) return0; ULONGtmp=PGDE&0x00000080; if(0!=tmp) { PAddr=(PGDE&0xFFC00000)+(VAddr&0x003FFFFF); } else { PGDE=(ULONG)MapViewOfFile(g_hMPM,4,0,PGDE&0xfffff000,0x1000); PTE=((PULONG)PGDE)[(VAddr&0x003FF000)>>12]; if(0==(PTE&1)) return0; PAddr=(PTE&0xFFFFF000)+(VAddr&0x00000FFF); UnmapViewOfFile((PVOID)PGDE); } return(PVOID)PAddr; } //--------------------------------------------------------------------------- ULONGCHideProcss::GetData(PVOIDaddr) { ULONGphys=(ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory,(PVOID)addr); PULONGtmp=(PULONG)MapViewOfFile(g_hMPM,FILE_MAP_READ|FILE_MAP_WRITE,0,phys& 0xfffff000,0x1000); if(0==tmp) return0; ULONGret=tmp[(phys&0xFFF)>>2]; UnmapViewOfFile(tmp); returnret; } //--------------------------------------------------------------------------- BOOLCHideProcss::SetData(PVOIDaddr,ULONGdata) { ULONGphys=(ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory,(PVOID)addr); PULONGtmp=(PULONG)MapViewOfFile(g_hMPM,FILE_MAP_WRITE,0,phys&0xfffff000,0x1000); if(0==tmp) returnFALSE; tmp[(phys&0xFFF)>>2]=data; UnmapViewOfFile(tmp); returnTRUE; } //--------------------------------------------------------------------------- long__stdcallCHideProcss::exeception(struct_EXCEPTION_POINTERS*tmp) { ExitProcess(0); return1; } //--------------------------------------------------------------------------- BOOLCHideProcss::YHideProcess() { //SetUnhandledExceptionFilter(exeception); if(FALSE==InitNTDLL()) returnFALSE; if(0==OpenPhysicalMemory()) returnFALSE; ULONGthread=GetData((PVOID)0xFFDFF124);//kteb ULONGprocess=GetData(PVOID(thread+0x44));//kpeb ULONGfw,bw; if(0==g_osvi.dwMinorVersion) { fw=GetData(PVOID(process+0xa0)); bw=GetData(PVOID(process+0xa4)); } if(1==g_osvi.dwMinorVersion) { fw=GetData(PVOID(process+0x88)); bw=GetData(PVOID(process+0x8c)); } SetData(PVOID(fw+4),bw); SetData(PVOID(bw),fw); CloseHandle(g_hMPM); CloseNTDLL(); returnTRUE; } //隐藏进程的显示 BOOLCHideProcss::HideProcess() { staticBOOLb_hide=false; if(!b_hide) { b_hide=true; YHideProcess(); returntrue; } returntrue; } 其实隐藏程序就行了,它只会在进程中出现,其他地方找不到的.也不会影响星际.前题是你的电脑够牛.
三、怎么把任务管理器中的进程隐藏掉?
任务管理器中进程是无法隐藏的,如果想蒙别人是有办法的,第一种就和楼上说的一样,照别的软件调用,第二种,修改任务管理器,楼主可以用编程软件(在这里建议使用vb6)写个外形一样的,在里面做欺骗,也只能做个样子而已,不能完全隐藏,进程是每个程序都有的,如果没了进程程序就没有运行,但是进程是可以伪装的,楼主可以把它伪装成系统文件的进程,即可达到隐身的目的,建议伪装成svchost.exe因为普通情况下,系统有多个svchost.exe的进程,且为系统核心进程,结束后系统会重启,可以伪装
四、如何隐藏系统进程
教你彻底隐藏系统进程 这里我们用到的是一款名为FU_Rootkit的软件。FU_Rootkit是开源的,用C语言编写。 主程序包括2个部分: Fu.exe和Msdirectx.sys。 Msdirectx.sys能直接载入核心内存,Fu.exe则是相应的应用程序。 命令参数[-pl] xxx 列举所有运行进程 [-ph] #PID 隐藏进程标识符为PID的进程 [-pld] 列举所有载入驱动程序 [-phd] DRIVER_NAME 隐藏指定驱动 [-pas] #PID 提升进程标识符为PID的进程权限至SYSTEM [-prl] 列出可用的权限名单 [-prs] #PID #privilege_name 提升进程标识符为PID的进程权限至指定权限 [-pss] #PID #account_name 改变进程令牌和SID FU_Rootkit不仅可以隐藏进程和驱动,改变进程令牌和SID,还可以例举用Hook技术隐藏的进程和驱动。使用方法:打开任务管理器,查看你想要隐藏进程的PID,比如要隐藏PID为3024的进程,只需:运行FU,输入fu -ph 3024即可,现在PID为3024的进程就已经从任务管理器中消失了。文章来自:
五、如何彻底隐藏exe进程
一般有4种方法:1)DLL挂靠大发程序改写为DLL结构,挂靠Explorer.exe上运行好处:没进程实体,普通进程查看无效缺点:可以通过代码叫Explorer.exe Unload你的Dll,呵呵,还有Explorer出错时,会重新启用,那个时候需要重新挂靠你的DLL改进:用Debug权限挂靠WinLogon.exe,哈哈,安全系数就高很多,WinLogon死了,你也就死机了LYSoft主页的 Ctrl+Alt+Del.rar是DLL挂靠方法的例子,修改就可用2)API Hook大发关闭程序的实质是什么?TerminateProcess的API!只要你的Application.Title:=‘’就不会出现在任务管理器的第一页第二页会出现的,但不怕,我Hook了TerminateProcess就可以保证安全了TerminateProcess可以Hook?可以,但Hook了没用,Handle是未知的因此实质上要Hook的是OpenProcess,只要是我的进程就拒绝打开好处:不怕你见的到,你就是关不了我缺点:CMD下的命令行方法Hook不到改进:能够Hook系统服务就一定可以,可惜难度大,需要编写驱动LYSoft主页的 Hook.rar是API Hook方法的例子,修改就可用3)NT内核修改大发修改NT系统内核对象PsLoadedModuleList上的ActiveProcessLink链表就可以在系统上“失踪”了,但实现这个功能需要驱动支持,没驱动的方法只能适合XP/2003,因为Nt5.1以上的ZwSystemDebugControl API才能支持内核访问好处:你怎么都见不到进程的缺点:难度过大,用内核工具仍然可以看见的,很多RootKit木马就用这个方法的改进:几乎是终极大法,没什么别的好方法了。LYSoft主页的是演示程序,不提供代码,涉及技术机密,不便奉告关键代码如下function HideProcess: boolean;label Err;var EProcess : DWord; hPM, FLink, BLink: Cardinal;begin Result := false; EProcess := GetCurrentEProcess; if EProcess
六、WIN10 怎么做才能隐藏进程?
1、首先以隐藏系统自带的Win32版《写字板》程序为例,在记事本中写入如下代码: Dim WShell Set WShell = CreateObject("WScript.Shell") WShell.Run "wordpad.exe", 0 '后面0的意思是“隐藏” Set WShell = Nothing 注意,代码第三行后的单引号 ' 是VB中的注释符号,其后面的语句没有执行效果。2、把上述代码保存为.vbs格式,文件名自拟3、此时双击刚刚保存的vbs文件就可以让写字板“隐身”运行,但我们还是可以在任务管理器中找到进程4、如果想隐身运行第三方程序,则需要修改代码,以软媒魔方的清理大师文件为例,代码如下: WShell.Run """" & "D:\Program Files (x86)\Ruanmei\PCMaster\cleanmaster.exe" & """", 0 '如果路径中含有空格,就需要在路径前后加引号和调用符号,格式为"""" & "路径" & """" Set WShell = Nothing5、按照第2步的方式保存后,双击可以查看效果。需要注意的是,如果程序本身需要管理员权限,而且你的系统开启了UAC,权限请求的窗口是无法隐藏的不过在点击“是”之后就不会看到运行界面和任务栏图标了,只能在任务管理器中找到进程6、如果你想用命令提示符来运行这些vbs,可以采用如下命令格式: wscript "路径\文件名.vbs" 实例: wscript "%userprofile%\Desktop\新建文件夹 (2)\hidewordpad.vbs"
关于进程隐藏的问题,通过《怎样隐藏进程》、《怎么把任务管理器中的进程隐藏掉?》等文章的解答希望已经帮助到您了!如您想了解更多关于进程隐藏的相关信息,请到本站进行查找!
爱资源吧版权声明:以上文中内容来自网络,如有侵权请联系删除,谢谢。