浅析进程伪隐藏技术

《浅析进程伪隐藏技术》由会员分享，可在线阅读，更多相关《浅析进程伪隐藏技术（5页珍藏版）》请在金锄头文库上搜索。

1、浅析进程伪隐藏技术浅析进程伪隐藏技术进程隐藏？干吗用？你不知道？我晕！进程隐藏技术多用于木马和病毒中（还用你说？ ！），用于提高其生存率。其实现方法因 win 系统架构不同而各异，一些常用方法资料很 多，我在这里也就不多说啦！ 这里的“伪隐藏“指的是，虽然在“windows 任务管理器“进程列表中可以看到其进程存在， 但在硬盘中却找不到或者说不容易找到其相对应的程序文件。 一：乾坤大挪移 大家都知道，当一个程序正在运行时，win 系统是不允许我们把其删除的（所以才会有 人寻找程序自删除_blank技术），但却不知大家是否注意到，在 win2000 中，当一个程 序正在运行时，我们虽然不能把它删

2、除，但我们却可以把程序文件在同一分区内移动位置 以及重命名，你可以自己试验一下！这也就是“windows 文件保护“所使用的方法！试想， 如果我们的程序在运行后，立即把自身移动位置并重命名，而在“windows 任务管理器“进 程列表中显示的却还是原来的程序名，那你又该如何来查找到其对应的程序文件呢？当然 如果程序在内存中没有进行变形的话，你可以利用内存查看_blank软件（如 winhex）并 利用查找功能来找到相对应的程序文件，但如果程序在内存中变形 ，也可以说解密，使得内存映像和硬盘中的原程序文件不同，那我是暂时没法找出来啦！ 实现_blank代码如下(masm)： ;进程隐藏之乾坤大挪

3、移（只能在同分区内移动） .386 .model flat, stdcall option casemap:none include windows.inc include kernel32.inc includelib kernel32.lib include user32.inc includelib user32.lib .data? selfname db max_blank_path dup(?) .data movename db “c:mm.jpg“,0 .code main: invoke getmodulefilename,null,addr selfname,max_bla

4、nk_path ;得到自身路径 mov al, byte ptr selfname ;得到所在分区 mov byte ptr movename,al ;修正 movename，使其在同分区内移动 invoke movefile,addr selfname,addr movename ;把自身移动位置并改名 invoke messagebox,null,offset selfname,offset movename,mb_blank_ok invoke exitprocess, null end main 本例程在 win2000 下调试通过，xp“ target=_blankxp 和 win2

5、003 应该也可以，请有 条件的弟兄测试，win98 和 winme 不能用，与硬盘格式无关！ 二：程序自删除（仅适用于 ntfs 硬盘分区格式) 在 ntfs 分区下存在文件流早已不是什么秘密啦，但大家主要用它来隐藏文件，我在一 次测试中却发现当我运行一个文件流程序时，这个文件流程序所在的宿主文件却是可以被 删除的！进一步测试发现文件流程序运行时并无法直接删除这个文件流程序，只能删除宿 主文件，从而来删除文件流程序。利用此特性，我们同样可以实现类似于上例的效果，且 比其隐藏效果要好点。方法为：判断是否是 ntfs 格式分区，如果是则把自身复制为一个文 件流，并运行复制的文件流，运行时检测到自

6、己是存在于文件流中时就删除宿主文件。 实现_blank代码如下(masm)： ;进程隐藏之文件流（只能用于 ntfs 分区格式） .386 .model flat, stdcall option casemap:none include windows.inc include kernel32.inc includelib kernel32.lib include user32.inc includelib user32.lib .data? selfname db max_blank_path dup(?) szfilesystemname db 10 dup(?) .data delnam

7、e db “.:icyfox.exe“,0 ;此处的“.:icyfox.exe“可以改为其他文件名如“cs.txt:cs.exe“ ;我这里用“.“的目的是为了防止删除其他存在的文件 szerr db “我不在 ntfs 格式的分区内，退出!“,0 szyes db “我在下面的流内，已被删除！“,0 .code main: invoke getmodulefilename,null,addr selfname,max_blank_path mov bl,byte ptr selfname+3 mov byte ptr selfname+3,0 xor eax,eax ;下面获取自身所在分区格

8、式，并判断是否是 ntfs 格式 invoke getvolumeinformation,addr selfname,eax,eax, eax,eax,eax,addr szfilesystemname, sizeof szfilesystemname mov byte ptr selfname+3,bl .if dword ptr szfilesystemname!=sftn;ntfs invoke messagebox,null,offset szerr,null,mb_blank_ok invoke exitprocess, null .endif ;下面判断自己是否在流（stream）

9、中 ;如果路径中含有两个:号，说明自己在文件流中 lea esi,selfname xor edx,edx : lodsb or al,al jz f ;遇到 0 结束 .if al=“:“ inc edx .endif .if edx=2 mov byte ptr esi-1,0 invoke deletefile,addr selfname ;删除宿主文件 invoke messagebox,null,offset delname,offset szyes,mb_blank_ok invoke exitprocess, null .endif jmp b ;下面是当自身不在文件流中时，把自身复制到流中并运行 : invoke copyfile,addr selfname,addr delname,false invoke winexec,addr delname,null invoke exitprocess, null end main 附加品： 我在测试时发现,当 delname(也就是流名)为“ .:icyfox.exe“ (.前为一空格，也可以是其 他字符)时，会产生一个无法删除的文件“ .“，我的盘中还留着它，请大家想想办法帮我删 掉它！我怀疑可能和那个文件夹漏洞有关，但现在是文件，我在后面加上也删不掉!