Cómo ocultar completamente el proceso exe
1) La DLL está vinculada a Dafa.
El programa se reescribe como una estructura DLL y se ejecuta en Explorer.exe.
Beneficios: Sin entidades de proceso, la visualización ordinaria del proceso no es válida.
Desventajas: Puedes desinstalar tu DLL llamando a Explorer.exe a través del código. Jaja, Explorer se volverá a habilitar cuando ocurra un error. En ese momento, deberá llamar a su DLL nuevamente.
Mejora: Usar permisos de depuración para llamar a WinLogon.exe, jaja, el factor de seguridad es mucho mayor. Si WinLogon muere, usted falla.
/projects/No Ctrl Alt Del.rar en la página de inicio de LYSoft es un ejemplo del método de enlace DLL y se puede modificar.
2) API Hook está enojado
¿Cuál es la esencia de cerrar el programa? ¡Termina el proceso API!
Mientras lo solicites. Título: = ' ' no aparecerá en la página de inicio del Administrador de tareas.
Aparecerá la segunda página, pero no tengas miedo, conecté TerminateProcess para garantizar la seguridad.
¿Se puede enganchar TerminateProcess? Sí, pero el gancho no funciona. Manejar desconocido.
Así que, esencialmente, OpenProcess quiere enganchar. Mientras sea mi proceso, se niega a abrir.
Beneficios: No tengo miedo de lo que puedas ver, pero no puedes callarme.
Desventajas: el enlace del método de línea de comando en CMD no está disponible.
Mejora: Con conectar los servicios del sistema es suficiente. Desafortunadamente, es difícil y requiere escribir un controlador.
/projects/API Hook.rar en la página de inicio de LYSoft es un ejemplo del método API Hook y se puede modificar.
3) Modificación del kernel NT
Modificar la lista ActiveProcessLink en el objeto del kernel del sistema NT PsLoadedModuleList puede hacer que "desaparezca" en el sistema, pero realizar esta función requiere el soporte del controlador El método sin controlador sólo es aplicable a XP/2003, porque la API ZwSystemDebugControl en Nt5.1 y superiores puede admitir el acceso al kernel.
Ventajas: Nunca ves el progreso.
Desventajas: Demasiado difícil, aún puedes verlo usando las herramientas del kernel. Muchos troyanos RootKit utilizan este método.
Mejora: Casi la solución definitiva, no hay otra buena manera.
/projects/NTLowLevel.exe en la página de inicio de LYSoft es un programa de demostración. No se proporciona el código y no es conveniente decírselo.
El código clave es el siguiente
proceso de ocultación de función: booleano;
Error de etiqueta;
Definir variables
Proceso Electrónico: DWord;
hPM, FLink, BLink: Cardinal;
Inicio
Resultado:=Falso;
e proceso := getcurrentprocess;
Si el proceso electrónico es lt1, entonces salga;
Si no es ReadVirtualMemory(EProcess $88,@FLink,4), entonces salga;
Si no ReadVirtualMemory (EProcess $8C, @BLink, 4) luego salga
Si no es WriteVirtualMemory (FLink 4, @BLink, 4) entonces salga
Si no es WriteVirtualMemory; (BLink, @FLink, 4) Luego salga;
Resultado: =True;
Fin
No preguntes por qué, necesitas conocimientos de NTDDK. entender :)
4) El hilo remoto está furioso.
Sin entidades, sin procesos, sin DLL, solo código.
Inyecte el código directamente en el espacio de proceso VirtualAllocEx y use CreateRemoteThread para ejecutarlo.
Beneficios: No existe ninguna entidad visible, la más oculta.
Desventajas: Adecuado para código simple, complejo y difícil de garantizar su fiabilidad y estabilidad, es el favorito de los virus.
Mejora: No hace falta nada.
No demostraré esto, jaja :)
Inyectado en un espacio de proceso, que involucra una serie de operaciones de virus, como el posicionamiento de API, que se ejecutan en el cuerpo de la otra parte.
El código simple está bien, las funciones complejas no son adecuadas y los programas generales no son adecuados en absoluto, por lo que, a menos que escriba un virus, no se recomienda este método porque incluso la depuración se vuelve difícil.