进程隐藏

进程隐藏

进程隐藏技术用得最多的地方就是在病毒和木马中，因为这些不适合出现在阳光下的程序，越隐蔽生存率就越高。在当今Windows环境下，病毒和木马流传得越来越广泛，让读者适当了解这方面的技术可以在防治方面起到积极的作用，技术这种东西就是这样，大家都知道的“秘技”也就不再是“秘技”了，所以，大家都知道了进程隐藏是怎么一回事，进程隐藏起来也就不那么隐蔽了。

13.4.1 在Windows 9x中隐藏进程

在Windows 9x系列操作系统中，可以通过Kernel32.dll中的一个未公开函数来完成隐藏功能，这个函数就是RegisterServiceProcess，该函数的功能是将一个进程注册为系统服务进程，由于Windows的任务管理器并不列出系统服务进程，所以可以用它来隐藏进程，不过该函数在Windows NT系列中并不存在。

;______________________________________________________________________________ RegisterServiceProcess函数的使用方法是：

invoke RegisterServiceProcess,dwProcessID,dwFlag

;______________________________________________________________________________ dwProcessID指明目标进程的进程ID，参数dwFlag指定是注册还是撤销，指定TRUE 的话，进程被注册为系统服务进程，如果指定为FALSE，则进程的属性恢复为普通进程属性。

Kernel32.lib导入库中并没有这个函数的导入信息，如果要使用这个函数，程序需要自己装入库文件并使用GetProcAddress函数获取入口地址后使用（方法请复习第11章）。所附光盘的Chapter13\HideProcess9x目录中的例子程序演示了该函数的使用方法。

汇编源代码HideProcess9x.asm的内容如下：

;______________________________________________________________________________

.386

.model flat,stdcall

option casemap:none ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; Include 文件定义;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> include windows.inc

include user32.inc

includelib user32.lib

include kernel32.inc

includelib kernel32.lib ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; 数据段;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

.const

szFunction db 'RegisterServiceProcess',0

szDllKernel db 'Kernel32.dll',0

szText db '现在请按下Ctrl＋Alt＋Del调出任务管理器查看是否存在本进程',0

szCaption db '在Windows 9x中隐藏进程',0

szErr db '本功能只在Windows 9x中提供',0 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; 代码段;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

.code

start:

invoke GetModuleHandle,offset szDllKernel

.if eax

invoke GetProcAddress,eax,offset szFunction

.if eax

mov ebx,eax

push TRUE

invoke GetCurrentProcessId

push eax

call ebx

invoke MessageBox,NULL,offset szText,offset szCaption,MB_OK

jmp @F

.endif

.endif

invoke MessageBox,NULL,offset szErr,NULL,MB_OK or MB_ICONWARNING

@@:

invoke ExitProcess,NULL ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

end start

;______________________________________________________________________________ 由于可以确认Kernel32.dll库已经被装载到进程的地址空间中（GetProcAddress等函数就包括在这个库中，因此这个库肯定已经被装入），所以例子中使用GetModuleHandle函数而不是使用LoadLibrary函数来获取库句柄，这样就可以省去一个FreeLibrary的调用。接下来，程序使用GetProcAddress函数获取RegisterServiceProcess函数的入口地址，如果获取成功，则使用GetCurrentProcessId函数获取当前进程的ID并将这个ID注册为系统服务进程。

RegisterServiceProcess的缺点就是只能“欺骗”Windows的任务管理器，使用快照函数还是可以将全部进程枚举出来，即使是13.3.1节中的ProcessList.exe例子，也可以发现用RegisterServiceProcess隐藏的进程。所以使用这个函数只能实现简单的进程隐藏功能。相比之下，Windows NT下远程线程的功能就要强大得多了。

13.4.2 Windows NT中的远程线程

在Windows 9x中将进程注册为系统服务进程就能够从任务管理器中隐形，但在NT下就不同了。首先，NT下不存在RegisterServiceProcess函数；其次，NT的任务管理器会列出