易语言驱动隐藏进程

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

驱动保护-隐藏进程躲避封号检测

隐藏进程有2种级别:

1.是应用级在R3层,这种级别隐藏进程容易,但也比较容易查出进程。

2.是驱动级在R0层,这种级别是最高级别隐藏,隐藏容易,但查出来比较难,需要一定的内核编程技术才能取出驱动隐藏的进程信息。

那么我们这就来讲讲驱动级隐藏进程吧,

在Game-EC 驱动版本模块中,加入了RO级的隐藏进程命令,由于Game驱动是我在xp SP3和win7 32位系统里写的,

所以支持这2种系统,当然其他版本系统没测试过,也许也支持2000或2003,如果谁有空就在这2个2000或2003系统测试吧,

如果有问题就联系我,修改支持兼容即可,64位系统就不用测试了,因为64位系统上运行驱动,需要微软数字签名认证,需要购买。

所以模块驱动不会支持64位系统使用,切勿在64位系统中使用,以免蓝屏!

很多游戏会检测辅助程序的进程,来判断机器上是否运行着可疑的程序(对游戏有破坏性的),

包括现在有的游戏居然会直接检测易语言进程,禁止运行时候时候运行易语言,这种情况,就是游戏枚举了系统进程,

发现了针对它的程序进程,对此做的各种限制。

所以隐藏进程在反游戏检测中也是很有一席之地的,下面我们来写个小例子,举例下如何运用驱动版本模块中的隐藏进程,

来隐藏我们的辅助进程,

例子的代码:

例子布局:

没有隐藏进程之前,在任务管理器里,我们可以查看到,当前程序进程

如图:

我们开始加载驱动隐藏我们程序进程,特别注意哦,我们的驱动加载时候会释放驱动文件到C盘文件去,

驱动文件名为:Dult.SYS ,如果有杀毒拦截提示,请允许放行加载!

如图:

隐藏我们的进程后,我们在任务管理器里找找,或者自己写一份枚举系统进程的代码,枚举下全部系统进程,

查看下我们是否能枚举出我们隐藏的进程呢,嘿嘿,当然是无法枚举出来,

如图:

我们已经无法在任务管理器里找到我们的进程了,因为我们已经以驱动级把我们的进程信息从系统中抹掉了。

这样任何应用级程序枚举或查找进程,都无法找到我们的程序进程。有一定的效果躲避了一些监测进程的保护!

相关文档
最新文档