进程隐藏怎么操作?如何隐藏进程不被检测?进程隐藏的五种方法详解

中国金投网
2023-05-08 07:31:46

进程隐藏怎么操作?

1、需要下载的隐藏经的软件

HideToolz,这是一个专业的隐藏进程的软件,隐藏进程主要是通过这个软件进行隐藏的。

2、步骤和方法

①现在打开你的浏览器,推荐使用的浏览器是搜狗,速度比较快。打开搜狗里面找到百度一下。在百度上的搜索栏里输入HideToolz,回车进行搜索。一般搜索出来的前面几个就是可以下载的。自己掂量着,打开一个进行下载,一般选择第一个。要保存在自己找得到的盘里,如果不知道保存在那个盘可以选择保存在桌面上。

②下载完之后,就打开下载这个软件的文件夹,进行解压。安装这个软件。这个软件是一个专 门 用于隐藏进程的软件。安装完打开之后就可以在这个软件里看到自己正在运行的进程有多少了。

③现在启动任务管理器,可以使用快捷键进行打开任务管理器。我们就可以在HideToolz这个软件里找到你希望隐藏起来的进行,找到这些正在运行的程序。将鼠标移动过去,右击就可以进行选择了,可以选择隐藏程序。选择了隐藏之后,我们就在任务管理器里找不到这些应用程序了。这些进程就查不到在运行了。

④如果想要将这些隐藏的程序显示出来,操作步骤也是很简单的,直接打开HideToolz,在这里面找到隐藏起来的进程,将这些进程选择显示就可以了。HideToolz这个软件也是可以进行隐藏的,可以设置打开软件的快捷键之后,将软件隐藏起来。

如何隐藏进程不被检测?

进程隐藏的五种方法:

1、基于系统服务的进程隐藏技术

在 W I N 9X 系列操作系统中, 系统进程列表中不能看到任何系统服务进程, 因此只需要将指定进程注册为系统服务就能够使该进程从系统进程列表中隐形。

在win9x下用RegisterServiceProcess函数隐藏进程,NT架构下用不了 即win2000 xp等什么的用不了此方法。

2、基于API HOOK的进程隐藏技术

API HOOK指的是通过特殊的编程手段截获WINDOWS系统调用的API函数,并将其丢弃或者进行替换。 通过APIHOOK编程方法,截获系统遍历进程函数并对其进行替换,可以实现对任意进程的隐藏。

3、基于DLL 的进程隐藏技术:远程注入Dll技术

DLL文件没有程序逻辑,不能独立运行,由进程加载并调用,所以在进程列表中不会出现DLL文件。如果是一个以DLL形式存在的程序,通过某个已有进程进行加载,即可实现程序的进程隐藏。在windows系统中, 每个进程都有自己的私有地址空间,进程不能创建属于另一个进程的内存指针。而远程线程技术正是通过特殊的内核编程手段, 打破进程界限来访问另一进程的地址空间, 以达到对自身 进行隐藏的目的。

远程线程注入DLL技术指的是通过在某进程中创建远程线程的方法进入该进程的内存空间, 然后在其内存空间中加载启动DLL程序。

4、基于远程线程注入代码的进程隐藏技术

这种方法与远程线程注入 DLL的原理一样,都是通过在某进程中创建远程线程来共享该进程的内存空间。所不同的是,远程线程注入代码通过直接拷贝程序代码到某进程的内存空间来达到注入的目的。因为程序代码存在于内存中,不仅进程列表中无法检测,即使遍历进程加载的内存模块也无法找到被隐藏程序的踪迹。

5、Rootkit方式

Intel CPU 有4 个特权级别: Ring 0, Ring 1, Ring 2, Ring 3。Windows 只使用了其中的 Ring 0 和Ring 3 两个级别。

操作系统分为内核和外壳两部分:内核运行在Ring0级,通常称为核心态(或内核态),用于实现最底层的管理功能,在内核态可以访问系统数据和硬件,包括处理机调度、内存管理、设备管理、文件管理等;外壳运行在Ring 3 级,通常称为用户态,是基于内核提供的交互功能而存在的界面,它负责指令传递和解释。通常情况下,用户态的应用程序没有权限访问核心态的地址空间。

Rootkit 是攻击者用来隐藏自己的踪迹和保留 root 访问权限的工具,它能使攻击者一直保持对目标机器的访问,以实施对目标计算机的控制。从Rootkit 运行的环境来看,可将其分为用户级 Rootkit 和内核级 Rootkit。用户态下,应用程序会调用 Wi n32子系统动态库(包括Kernel32.dll, User32.dll, Gdi32.dll等) 提供的Win32 API函数,它们是 Windows提供给应用程序与操作系统的接口,运行在Ring 3 级。用户级 Rootkit 通常就是通过拦截 Win32API,建立系统钩子,插入自己的代码,从而控制检测工具对进程或服务的遍历调用,实现隐藏功能。

内核级 R o o t k it 是指利用驱动程序技术或其它相关技术进入Windows 操作系统内核,通过对 Windows操作系统内核相关的数据结构或对象进行篡改,以实现隐藏功能。

由于Rootkit 运行在 Ring 0 级别,甚至进入内核空间,因而可以对内核指令进行修改,而用户级检测却无法发现内核操作被拦截。

责任编辑:299
热点新闻

深圳热线 版权所有 Copyright © 2022 SZONLINE(SZONLINE.CN) All Rights Reserved.邮箱:56 26 623@qq.com

粤ICP备18025786号-54 营业执照公示信息