问题] 通常我们按下CTRL+ATL+DEL组合键后,可以看到正在运行的程序或者进程,有没有办法让程序从CTRL+ATL+DEL消失掉呢?也就是说让正在运行的程序对CTRL+ATL+DEL不可见。 [解答] 答案是肯定的,办法如下: 使用Win32 API 函数RegisterServiceProcess,但是这个API函数的文档你是很难找到的。这里我们要用一下汇编。 另外:RegisterServiceProcess函数在2000或以上版本不支持了。 #include <windows.h>
#include <tchar.h>
HINSTANCE hLibrary;
void *regproc;
void CADInit(void);
void HideApp(void);
void ShowApp(void);
void CADClean(void);
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
//int main()
{
CADInit(); //加载 DLL 并创建一指向它指针
HideApp(); //隐藏程序
//ShowApp(); //显示程序
//其他处理或调用
CADClean(); //卸载 DLL
return 0; //retrun 0 因为没有进入消息循环
}
void CADInit(void)
{
//加载 kernel32.dll
hLibrary = LoadLibrary(_T("kernel32.dll"));
//获取函数RegisterServiceProcess的地址
regproc = GetProcAddress(hLibrary, "RegisterServiceProcess");
}
void HideApp(void)
{
//实现程序的隐藏
__asm
{
push 1
push 0
call regproc
}
return;
}
void ShowApp(void)
{
//恢复状态
__asm
{
push 0
push 0
call regproc
}
return;
}
void CADClean(void)
{
//卸载 DLL
FreeLibrary(hLibrary);
return;
}
2、隐藏进程:在任务栏中隐藏自己,这是最基本的办法。只要把Form的Visible属性设为False,ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。 在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己(这里用到了一个未公开的API调用RegisterServiceProcess()函数,此函数将进程注册为一个服务程序,这样程序将不会显示在任务列表中),参照黑洞木马的实现。http://it.rising.com.cn/antivirus/viruslore/virus165.htm http://www.it8g.com/YeJie/200809/1155.htm 3、小知识:http://soft.yesky.com/security/118/3023618.shtml 反弹技术,该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是,客户端首先登录到FTP服务器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。 因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为80(即用于网页浏览的端口),这样,即使用户在命令提示符下使用“netstat -a”命令检查自己的端口,发现的也是类似“TCP UserIP:3015 ControllerIP:http ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页,而防火墙也会同样这么认为的。于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端,这样就可以轻易的突破防火墙的限制。 |