浅析进程躲藏技术与实现之伪躲藏[网络技术]

找啊找啊找,怎么你也找不到!呵呵^0^
进程躲藏?干吗用?你不知道?我晕!进程躲藏技术多用于木马和病毒中（还用你说?!）,用于提高其生存率.其实现办法因WIN系统架构差别而各异,据我个人掌握的资料,主要有下面一些办法（因个人本领和精神有限,无法介绍全面,如各位大哥还有高招,望指导小弟一二!）
伪躲藏
这里的"伪躲藏"指的是,固然在"hack58.net/" target=_blank>WINDOWS任务管理器"进程列表中可以看到其进程存在,但在硬盘中却找不到大概说不简单找到其相对应的程序文件.（把它归为"进程躲藏",有点不当,委曲算吧.）
一:乾坤大挪移
大家都知道,当一个程序正在运行时,WIN系统是不答应我们把其删除的（所以才会有人探求程序自删除技术）,但却不知大家能否注意到,在WIN2000中,当一个程序正在运行时,我们固然不能把它删除,但我们却可以把程序文件在同一分区内移动位置以及重命名,你可以自己试验一下!试想,假如我们的程序在运行后,当即把自身移动位置并重命名,而在"hack58.net/" target=_blank>WINDOWS任务管理器"进程列表中显示的却还是本来的程序名,那你又该若何来查找到其对应的程序文件呢?当然假如程序在内存中没有举行变形的话,你可以操纵内存查看软件（如WINHEX）并操纵查找功效来找到相对应的程序文件,但假如程序在内存中变形
,也可以说解密,使得内存映像和硬盘中的原程序文件差别,那我是暂时没法找出来啦!
实现代码以下(MASM):
;进程躲藏之乾坤大挪移（只能在同分区内移动）
.386
.model flat, stdcall
option casemap:none 
 

include hack58.net/" target=_blank>windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
.data?
selfname db MAX_PATH dup(?)
.data
movename db "c:\mm.jpg",0
.code
main:
invoke GetModuleFileName,NULL,addr selfname,MAX_PATH ;得到自身途径
mov al, byte ptr selfname ;得到所在分区
mov byte ptr movename,al ;改正movename,使其在同分区内移动
invoke MoveFile,addr selfname,addr movename ;把自身移动位置并改名
invoke MessageBox,NULL,offset selfname,offset movename,MB_OK
invoke ExitProcess, NULL
end main
本例程在WIN2000下调试通过,XP和WIN2003应当也可以,请有条件的弟兄测试,WIN98和WINME不能用,与硬盘格局无关!
二:程序自删除（仅实用于NTFS硬盘分区格局)
在NTFS分区下存在文件流早已不是什么奥秘啦,但大家主要用它来躲藏文件,我在一次测试中却发现当我运行一个文件流程序时,这个文件流程序所在的宿主文件倒是可以被删除的!进一步测试发现文件流程序运行时并没有法直接删除这个文件流程序,只能删除宿主文件,从而来删除文件流程序.操纵此特点,我们一样可以实现近似于上例的效果,且比其躲藏效果要好点.办法为:判断能否是NTFS格局分区,假如是则把自身复制为一个文件流,并运行复制的文件流,运行时检测到自己是存在于文件流中时就删除宿主文件.
实现代码以下(MASM):
;进程躲藏之文件流（只能用于NTFS分区格局）
.386
.model flat, stdcall
option casemap:none

include hack58.net/" target=_blank>windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
.data?
selfname db MAX_PATH dup(?)
szFileSystemName db 10 dup(?)
.data

delname db "`.`:icyfox.exe",0
;此处的"`.`:icyfox.exe"可以改成其他文件名如"cs.txt:cs.exe"
;我这里用"`.`"的目的是为了避免删除其他存在的文件

szErr db "我不在NTFS格局的分区内,退出!",0
szYes db "我在下面的流内,已被删除!",0
.code

main:
invoke GetModuleFileName,NULL,addr selfname,MAX_PATH
mov bl,byte ptr selfname+3
mov byte ptr selfname+3,0
xor eax,eax

;下面获得自身所在分区格局,并判断能否是NTFS格局
invoke GetVolumeInformation,addr selfname,eax,eax,\
eax,eax,eax,addr szFileSystemName, sizeof szFileSystemName
mov byte ptr selfname+3,bl
.if dword ptr szFileSystemName!='SFTN';NTFS
invoke MessageBox,NULL,offset szErr,NULL,MB_OK
invoke ExitProcess, NULL
.endif

;下面判断自己能否在流（STREAM）中
;假如途径中含有两个:号,阐明自己在文件流中
lea esi,selfname
xor edx,edx
@@:
LODSB
or al,al
jz @F ;碰到0完毕
.if al==":"
INC edx
.endif
.if edx==2
mov byte ptr [esi-1],0
invoke DeleteFile,addr selfname ;删除宿主文件
invoke MessageBox,NULL,offset delname,offset szYes,MB_OK
invoke ExitProcess, NULL
.endif
jmp @B

;下面是当自身不在文件流中时,把自身复制到流中并运行
@@:
invoke CopyFile,addr selfname,addr delname,FALSE
invoke WinExec,addr delname,NULL
invoke ExitProcess, NULL
end main
附加品:
我在测试时发现,当delname(也就是流名)为" .:icyfox.exe" (.前为一空格,也可以是其他字符)时,会产生一个无法删除的文件" .",我的盘中还留着它,请大家想想办法帮我删掉它!我猜疑大概和那个文件夹漏洞有关,但目前是文件,我在背面加上\也删不掉!