<p> </p>
<p>冰刃是驱动级高手的作品,而这个DLL只是改了一下进程链表.</p>
<p> </p>
<p>要是这样简单做一下就可以过冰刃,别人别混了哈哈.</p> <p><font face="Verdana">XP SP2 全补丁没用。</font></p>
<p> </p>
<p> </p>
<p>我传一个利用驱动来隐藏的,望大哈研究一下,下办法把它搞成VB</p>
<p> </p>
<p> </p>
<p>PS。大哈你不认识我,我可认识你了。哈哈</p>
<p> </p>
<p> </p>
<p> </p><br/>
[此贴子已经被作者于2008-9-20 17:34:48编辑过] <p>在我的系统不行啊,win2003+sp1</p> <div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>xbs2008</i>在20/09/2008 17:34:10的发言:</b><br/>
<p><font face="Verdana">XP SP2 全补丁没用。</font></p>
<p> </p>
<p>我传一个利用驱动来隐藏的,望大哈研究一下,下办法把它搞成VB</p>
<p> </p>
<p>PS。大哈你不认识我,我可认识你了。哈哈</p>
<p> </p>
<table class="tableborder4" style="WIDTH: 550px" cellspacing="2" border="0">
<tbody>
<tr>
<td class="tablebody2" colspan="2" height="20"> <b>下载信息</b> [文件大小:<a target="_blank" name="UpFileSize">46.7 KB</a> 下载次数:<a target="_blank" name="LoadTime">0</a>]</td></tr>
<tr>
<td class="tablebody1" colspan="2" height="20"><img title="dvubb" alt="图片点击可在新窗口打开查看" src="http://www.m5home.com/bbs/skins/default/filetype/rar.gif" onload="imgresize(this);" border="0"/><a href="http://www.m5home.com/bbs/viewFile.asp?BoardID=10&ID=696" target="_blank">点击浏览该文件:进程隐藏.rar</a></td></tr></tbody></table>
<div align="right"><font color="#000066">[此贴子已经被作者于2008-9-20 17:34:48编辑过]</font></div></div>
<p>这个驱动级的隐藏是很不错,它是做了SSDT HOOK,对包括NtOpenProcess在内的多个API在内核里进行了HOOK,再作处理,于是Ring3下的进程管理就拿它没办法了.</p>
<p> </p>
<p>至于XPSP2不行,估计原因是直接在Ring3下改进程链表被禁止了,所以还是得像你这个程序一样进Ring0才行.</p>
<p> </p>
<p>另外........从你的ID上我的确不是能想起很多有用的信息........请问是哪位?</p> <p>这个DLL怎么调用?</p>
<p> </p>
<p>我在MFC DLG里这样调用,没察觉哪有错,可实现不了...</p>
<p> </p>
<p><font face="Verdana">HMODULE h=LoadLibrary("prshook.dll"); <br/> if(!h) <br/> { <br/> MessageBox("Failed loading prshook.dll."); <br/> return; <br/> } <br/> typedef long (*FUNC)(LPSTR str); <br/> FUNC f=(FUNC)GetProcAddress(h,"Mapping"); <br/> if(!f) <br/> { <br/> MessageBox("Can't find proc address."); <br/> return; <br/> } <br/> if(f("hide.exe")==0)<br/> {<br/> MessageBox("调用失败");<br/> }<br/> FreeLibrary(h);</font></p> <p>我在MFC DLG里调用(参数为空),没察觉哪有错,可实现不了...</p>
<p> </p>
<p><font face="Verdana">HMODULE h=LoadLibrary("prshook.dll"); <br/> if(!h) <br/> { <br/> MessageBox("Failed loading prshook.dll."); <br/> return; <br/> } <br/> typedef long (*FUNC)(); <br/> FUNC f = (FUNC)GetProcAddress(h,"Mapping"); <br/> if( !f ) <br/> { <br/> MessageBox("Can't find proc address."); <br/> return; <br/> } <br/> if( f () == 0 )<br/> {<br/> MessageBox("调用失败");<br/> }<br/> FreeLibrary(h);</font></p> <p>哎 还是被360的“系统全面诊断”发现了。</p>
<p></p> 楼主辛苦了 <p>win2003+sp2 失败了.. </p>
<p>第一次成功,退出再打开,再隐藏就不行了..</p>
<p>不知道是什么问题,进程是隐藏了..</p>
<p>可是任务管理器中,应该程序还在..</p> 看来并不稳定. <p>这个线程隐藏能用在SP3吗?</p> <p>不可以</p>
<p> </p>
<p>SP3的一些东西不同了,听说好象貌似有可能会蓝呀................</p> <p>进程是隐藏了。。可是在“应该程序”那里还是显示的????</p> 不做坏事,只是用来对付坏人的 真的可以隐藏吗?会不会在杀毒软件的进程列表中现形呢? 应用程序那里是窗体标题,不需要操作链表就能隐藏的. 好像在win7 64bit下无效啊 谢谢老马分享;
一,没有成功隐藏,点击隐藏后没反应;
二,测试环境:xp professional 2002版本,sp3
杀毒没有报;小红伞 本帖最后由 winterballli 于 2010-5-11 08:44 编辑
测试后,需要重启机器才能删除dll 又在xp+sp2的虚拟机里测了,正常;虚拟机没装杀毒,裸机 谢谢测试! 谢谢,DLL会不会被杀?
页:
1
[2]