|
|
域名空间 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 网络赚钱 | 网站地图 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>黑客技术>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
|
这里的"伪隐藏"指的是,虽然在"windows任务管理器"进程列表中可以看到其进程存在,但在硬盘中却找不到或者说不容易找到其相对应的程序文件。 一:乾坤大挪移 大家都知道,当一个程序正在运行时,win系统是不允许我们把其删除的(所以才会有人寻找程序自删除_blank>技术),但却不知大家是否注意到,在win2000中,当一个程序正在运行时,我们虽然不能把它删除,但我们却可以把程序文件在同一分区内移动位置以及重命名,你可以自己试验一下!这也就是"windows文件保护"所使用的方法!试想,如果我们的程序在运行后,立即把自身移动位置并重命名,而在"windows任务管理器"进程列表中显示的却还是原来的程序名,那你又该如何来查找到其对应的程序文件呢?当然如果程序在内存中没有进行变形的话,你可以利用内存查看_blank>软件(如winhex)并利用查找功能来找到相对应的程序文件,但如果程序在内存中变形 ,也可以说解密,使得内存映像和硬盘中的原程序文件不同,那我是暂时没法找出来啦! 实现_blank>代码如下(masm): ;进程隐藏之乾坤大挪移(只能在同分区内移动) .386 .model flat, stdcall option casemap:none include windows.inc include kernel32.inc includelib kernel32.lib include user32.inc includelib user32.lib .data? selfname db max_blank>_path dup(?) .data movename db "c:\mm.jpg",0 .code main: invoke getmodulefilename,null,addr selfname,max_blank>_path ;得到自身路径 mov al, byte ptr selfname ;得到所在分区 mov byte ptr movename,al ;修正movename,使其在同分区内移动 invoke movefile,addr selfname,addr movename ;把自身移动位置并改名 invoke messagebox,null,offset selfname,offset movename,mb_blank>_ok invoke exitprocess, null end main 本例程在win2000下调试通过,xp" target=_blank>xp和win2003应该也可以,请有条件的弟兄测试,win98和winme不能用,与硬盘格式无关! 本新闻共2页,当前在第1页 1 2 编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:病毒杀不死的原因分析和相应对策 下一篇:鲜为人知的“windows 2000/xp受限”问题 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 相关文章 | ||||
| 友情链接 | ||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术