隐藏进程

最新推荐文章于 2014-04-08 20:59:08 发布
最新推荐文章于 2014-04-08 20:59:08 发布
阅读量706 收藏
点赞数
文章标签: attributes null access string descriptor object
还有另外一种方法,我下了文章发表在下期<黑客防线>上,这里给你贴代码吧:)  
  #include<windows.h>  
  #include<Accctrl.h>  
  #include<Aclapi.h>  
   
  //#include"HideProcess.h"  
   
  #define   NT_SUCCESS(Status)((NTSTATUS)(Status)   >=   0)  
  #define   STATUS_INFO_LENGTH_MISMATCH   ((NTSTATUS)0xC0000004L)  
  #define   STATUS_ACCESS_DENIED   ((NTSTATUS)0xC0000022L)  
   
  typedef   LONG   NTSTATUS;  
   
  typedef   struct   _IO_STATUS_BLOCK    
  {  
          NTSTATUS   Status;  
          ULONG   Information;  
  }   IO_STATUS_BLOCK,   *PIO_STATUS_BLOCK;  
   
  typedef   struct   _UNICODE_STRING    
  {  
          USHORT   Length;  
          USHORT   MaximumLength;  
          PWSTR   Buffer;  
  }   UNICODE_STRING,   *PUNICODE_STRING;  
   
  #define   OBJ_INHERIT                                 0x00000002L  
  #define   OBJ_PERMANENT                         0x00000010L  
  #define   OBJ_EXCLUSIVE                         0x00000020L  
  #define   OBJ_CASE_INSENSITIVE         0x00000040L  
  #define   OBJ_OPENIF                                 0x00000080L  
  #define   OBJ_OPENLINK                         0x00000100L  
  #define   OBJ_KERNEL_HANDLE                 0x00000200L  
  #define   OBJ_VALID_ATTRIBUTES         0x000003F2L  
   
  typedef   struct   _OBJECT_ATTRIBUTES    
  {  
          ULONG   Length;  
          HANDLE   RootDirectory;  
          PUNICODE_STRING   ObjectName;  
          ULONG   Attributes;  
          PVOID   SecurityDescriptor;  
          PVOID   SecurityQualityOfService;  
  }   OBJECT_ATTRIBUTES,   *POBJECT_ATTRIBUTES;    
   
  typedef   NTSTATUS   (CALLBACK*   ZWOPENSECTION)(  
          OUT   PHANDLE   SectionHandle,  
          IN   ACCESS_MASK   DesiredAccess,  
          IN   POBJECT_ATTRIBUTES   ObjectAttributes  
          );  
   
  typedef   VOID   (CALLBACK*   RTLINITUNICODESTRING)(  
          IN   OUT   PUNICODE_STRING   DestinationString,  
          IN   PCWSTR   SourceString  
          );  
   
  RTLINITUNICODESTRING   RtlInitUnicodeString;  
  ZWOPENSECTION   ZwOpenSection;  
  HMODULE   g_hNtDLL   =   NULL;  
  PVOID   g_pMapPhysicalMemory   =   NULL;  
  HANDLE   g_hMPM   =   NULL;  
  OSVERSIONINFO   g_osvi;  
  //---------------------------------------------------------------------------  
   
  BOOL   InitNTDLL()//初始化,加载相关DLL,并且获得相应函数的函数指针  
  {  
          g_hNtDLL   =   LoadLibrary("ntdll.dll");  
   
          if   (NULL   ==   g_hNtDLL)  
                  return   FALSE;  
   
          RtlInitUnicodeString   =   (RTLINITUNICODESTRING)GetProcAddress(   g_hNtDLL,    
   
  "RtlInitUnicodeString");  
          ZwOpenSection   =   (ZWOPENSECTION)GetProcAddress(   g_hNtDLL,   "ZwOpenSection");  
   
          return   TRUE;  
  }  
  //---------------------------------------------------------------------------  
  VOID   CloseNTDLL()  
  {  
          if(NULL   !=   g_hNtDLL)  
  {  
  FreeLibrary(g_hNtDLL);  
  }  
   
          g_hNtDLL   =   NULL;  
  }  
  //---------------------------------------------------------------------------  
  VOID   SetPhyscialMemorySectionCanBeWrited(HANDLE   hSection)    
  {    
          PACL   pDacl                                         =   NULL;    
          PSECURITY_DESCRIPTOR   pSD         =   NULL;    
          PACL   pNewDacl   =   NULL;    
           
          DWORD   dwRes   =   GetSecurityInfo(hSection,   SE_KERNEL_OBJECT,   DACL_SECURITY_INFORMATION,   NULL,NULL,   &pDacl,   NULL,   &pSD);  
   
          if(ERROR_SUCCESS   !=   dwRes)  
          {  
   
  if(pSD)    
  {  
  LocalFree(pSD);    
  }  
  if(pNewDacl)    
  {  
  LocalFree(pNewDacl);    
  }  
          }  
   
          EXPLICIT_ACCESS   ea;    
          RtlZeroMemory(&ea,   sizeof(EXPLICIT_ACCESS));    
          ea.grfAccessPermissions   =   SECTION_MAP_WRITE;    
          ea.grfAccessMode   =   GRANT_ACCESS;    
          ea.grfInheritance=   NO_INHERITANCE;    
          ea.Trustee.TrusteeForm   =   TRUSTEE_IS_NAME;    
          ea.Trustee.TrusteeType   =   TRUSTEE_IS_USER;    
          ea.Trustee.ptstrName   =   "CURRENT_USER";    
   
          dwRes   =   SetEntriesInAcl(1,&ea,pDacl,&pNewDacl);  
           
          if(ERROR_SUCCESS   !=   dwRes)  
          {  
   
  if(pSD)    
  {  
  LocalFree(pSD);    
  }  
  if(pNewDacl)    
  {  
  LocalFree(pNewDacl);    
  }  
          }  
          dwRes   =   SetSecurityInfo(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL);  
           
          if(ERROR_SUCCESS   !=   dwRes)  
          {  
   
  if(pSD)    
  {  
  LocalFree(pSD);    
  }  
  if(pNewDacl)    
  {  
  LocalFree(pNewDacl);    
  }  
          }  
   
  }     
sanshao27
关注
隐藏进程代码
forzy的专栏
06-19 1610
用WinExeC()和CreateProcess()可以调用外部程序.用FindWindow()找到那个程序的窗口句柄,在用ShowWindow(handle,SW_HIDE)使它隐藏,用SendMessage(handle,WM_CLOSE,0,0)使它关闭.void HideProcess(){    HINSTANCE hInst = LoadLibrary("KERNEL32.DLL");
易语言隐藏进程模块源码.rar
08-03
标题 "易语言隐藏进程模块源码.rar" 指向的是一个使用易语言编写的应用程序,其主要功能是实现对进程隐藏。易语言是一种中国本土开发的编程语言,旨在降低编程难度,使得非专业程序员也能进行软件开发。在这个...
隐藏进程代码
06-03
隐藏进程代码,通过驱动隐藏进程或文件.c++代码,可编译通过.
隐藏进程(源代码
06-22
隐藏进程(源代码
一段进程隐藏代码
03-07 2874
打开物理内存->找到活动进程链表->摘除自己这个用去动作很简单:#define DEBUGMSG#include #define DWORD ULONG#define NT_DEVICE_NAME          L"//Device//king"#define DOS_DEVICE_NAME         L"//DosDevices//king"void DriverUnloAd(IN P
进程隐藏的各种方法 以及分析比较以及实现链接
热门推荐
hnust_xiehonghao的专栏
04-08 1万+
一、最为古老的DLL注入方法。   虽说古老,但也经历了不少变动,最初的win9X的系统没有Psapi,没有进程快照,所以一般是三级跳。跳啊跳……NT下可以直接用OpenProcess打开进程(打不开的话,提权到Debug权限),利用LoadLibrary,并且申请远程地址空间,然后把DLL注入到目标EXE进程当中,可谓省时省力,这也是目前应用作为普遍的方法之一。
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
2. **注册表操作**:修改注册表键值以隐藏进程在任务管理器中的显示,例如更改`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`下的设置。 3. **系统API调用**:...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
在IT安全领域,驱动级的隐藏进程技术是一种高级的系统隐藏策略,主要应用于恶意软件或黑客工具中,目的是避开安全软件的检测。本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch ...
易语言隐藏进程模块源码(1).rar
08-03
在这个“易语言隐藏进程模块源码(1).rar”压缩包中,包含的是利用易语言编写的程序,用于实现进程隐藏功能。这一技术在系统管理、安全防护以及恶意软件中都有所应用。 首先,我们要理解什么是进程隐藏。在操作...
隐藏进程 win10测试可用
04-23
在IT领域,隐藏进程是一种技术,它允许程序员或者高级用户隐藏特定的系统进程,使得这些进程在任务管理器或其他系统监控工具中不可见。这样的功能可能对于开发人员调试、安全研究,甚至恶意软件活动都有所涉及。在...
完全隐藏进程的VB程序源代码(纯代码
02-22
完全隐藏进程的VB程序源代码,不用借助任何控件,即可实现在XP下的完美进程隐藏
隐藏进程(隐藏进程管理器中的显示)
07-02
使用与xp, win7等各种windows平台,而且不用注入API方式,免除杀毒软件误判之忧. 方法非常简单,就是使用最普通的往进程的窗口发送消息的办法.
可以隐藏任何进程
01-17
可以可很多防杀,可以隐藏任何进程 ,驱动级加载防杀,很实用
驱动级别隐藏进程代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程代码2)
Windows下的进程隐藏
weixin_30416497的博客
11-08 978
Windows下的进程隐藏 9X环境中Windows提供了想光的API函数用于隐藏系统进程。但是到了2000以上系统,已经无法真正的做到对于进程隐藏,除非编写底层驱动。但是我们可以通过一些变通的办法来达到隐藏进程的目的,其中一个就是远程注入。简单的说就是先编写一个API的DLL,然后将这个DLL库注入到一个系统进程中,作为它的一个线程去执行。...
隐藏进程代码[C语言]
tix66的专栏
05-12 2467
<br />//HideProcess.h <br /><br />#include<windows.h> <br />#include<Accctrl.h> <br />#include<Aclapi.h> <br /><br />//#include/"HideProcess.h/" <br /><br />#define NT_SUCCESS(Status)((NTSTATUS)(Status) >= 0) <br />#define STATUS_INFO_LENGTH_MISMATCH ((NTS
进程隐藏的若干方法
冷饮
08-04 1460
本来指望放假抢分再混个啤酒瓶盖,结果若干牛人得分实在是过于恐怖,加上很多帖子不结贴,于是这个计划就浮云了…… 为了攒点RP值,收集了一下进程隐藏的若干方法,也顺便给哪位不结贴的朋友看看分享下。 一、最为古老的DLL注入方法。 虽说古老,但也经历了不少变动,最初的win9X的系统没有Psapi,没有进程快照,所以一般是三级跳。跳啊跳……NT下可以直接用OpenProcess打
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值