如何隐藏木马程序运行窗口_如何隐藏木马程序运行

如何彻底隐藏exe进程

一般有4种方法:

1)DLL挂靠大发

程序改写为DLL结构,挂靠Explorer.exe上运行

好处：没进程实体，普通进程查看无效

缺点：可以通过代码叫Explorer.exe Unload你的Dll，呵呵，还有Explorer出错时，会重新启用，那个时候需要重新挂靠你的DLL

改进：用Debug权限挂靠WinLogon.exe，哈哈，安全系数就高很多，WinLogon死了，你也就死机了

LYSoft主页的 Ctrl+Alt+Del.rar是DLL挂靠方法的例子，修改就可用

2）API Hook大发

关闭程序的实质是什么？TerminateProcess的API！

只要你的Application.Title：＝‘’就不会出现在任务管理器的第一页

第二页会出现的，但不怕，我Hook了TerminateProcess就可以保证安全了

TerminateProcess可以Hook？可以，但Hook了没用，Handle是未知的

因此实质上要Hook的是OpenProcess，只要是我的进程就拒绝打开

好处：不怕你见的到，你就是关不了我

缺点：CMD下的命令行方法Hook不到

改进：能够Hook系统服务就一定可以，可惜难度大，需要编写驱动

LYSoft主页的 Hook.rar是API Hook方法的例子，修改就可用

3）NT内核修改大发

修改NT系统内核对象PsLoadedModuleList上的ActiveProcessLink链表就可以在系统上“失踪”了，但实现这个功能需要驱动支持，没驱动的方法只能适合XP／2003，因为Nt5.1以上的ZwSystemDebugControl API才能支持内核访问

好处：你怎么都见不到进程的

缺点：难度过大，用内核工具仍然可以看见的，很多RootKit木马就用这个方法的

改进：几乎是终极大法，没什么别的好方法了。

LYSoft主页的是演示程序，不提供代码，涉及技术机密，不便奉告

关键代码如下

function HideProcess: boolean;

label Err;

var

EProcess : DWord;

hPM, FLink, BLink: Cardinal;

begin

Result := false;

EProcess := GetCurrentEProcess;

if EProcess 1 then Exit;

if not ReadVirtualMemory(EProcess+$88, @FLink, 4) then Exit;

if not ReadVirtualMemory(EProcess+$8C, @BLink, 4) then Exit;

if not WriteVirtualMemory(FLink+4, @BLink, 4) then Exit;

if not WriteVirtualMemory(BLink, @FLink, 4) then Exit;

Result := true;

end;

不要问为什么了，你需要NTDDK的知识才能明白的：）

4）远程线程大发

没有实体的存在，没进程，没DLL，只有代码

把代码直接注入进程空间VirtualAllocEx，用CreateRemoteThread运行，

好处：没可见的实体，隐蔽性最强

缺点：适合于简单代码，复杂的难以保证其可靠性和稳定性，病毒的最爱

改进：不需要什么了

这个没演示了，呵呵：）

注入某个进程空间，要涉及到API定位等一系列病毒式操作，在对方的身体运行呀

简单的代码可以，复杂的功能就很不适合，一般的程序根本就不适合，所以除非写病毒，否则不建议用这样的方法，因为连调试都变得很难

如果发现木马,首先要做的是关掉后台运行的程序,对吗?

不对。

针对于顽固木马来说，后台进程是带有第三方驱动保护无法关闭的，另外木马带有伪装性，一般是找不到真正的木马进程的，如果发现木马首要做的就是进入安全模式，然后对电脑进行病毒查杀，因为安全模式禁止第三方驱动自启动，所以是最安全的。

在安全模式下，打开电脑管家等带有本地杀毒引擎的杀毒软件如腾讯电脑管家，对电脑进行病毒查杀，查杀病毒后再重启电脑即可。

扩展资料：

第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能。

第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。

第三代，主要改进在数据传递技术方面，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度。

第四代， 在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在Windows NT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

怎么查找 电脑里的隐藏木马

有以下几种常见的查询木马方式：

一、通过启动文件检测木马

1、一旦电脑中了木马，则在电脑开机时一般都会自动加载木马文件，由于木马的隐藏性比较强，在启动后大部分木马都会更改其原来的文件名。

2、如果用户对电脑的启动文件非常熟悉，则可以从Windows系统自动加载文件中分析木马的存在并清除木马，这种方式是最有效、最直接的检测木马方式。

3、但是，由于木马自动加载的方法和存放的文职比较多，这种方法对于不太懂电脑的人来说比较有难度

二、通过进程检测木马

1、由于木马也是一个应用程序，一旦运行，就会在电脑系统的内存中驻留进程。因此，我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程

2、在Windows系统中，按下【Ctrl+Alt+Delete】组合键，打开【Windows任务管理器】窗口，选择【进程】选项卡，查看列表 中是否存在可以的木马程序。

3、如果存在可疑进程，选中此进程并右击，从弹出的快捷菜单中选择【结束进程】即可结束词进程。

三、通过网络连接检测木马

1、木马的运行通常是通过网络连接实现的，因此，用户可以通过分析网络连接来推测木马是否存在，最简单的办法是利用Windows自带的Netstat命令。

2、选择“开始”-“运行”菜单项，打开“运行”对话框，单击“确定”按钮，打开“命令提示符”窗口。

3、在“命令提示符”窗口中输入“netstat -a”，按“Enter”键，在其运行结果中查看有哪些可以的运行程序来判断木马文件。