进程隐藏

小旭旭

有没有大佬发一个好用的进程隐藏源码，论坛找了好多都没有效果，

看我白不白

有一个隐藏软件自身的你要不要

补充内容 (2025-5-11 15:16):
https://eyy8vip.lanzoux.com/ikUeKj5sozg

小旭旭

看我白不白 发表于 2025-5-11 15:14
有一个隐藏软件自身的你要不要

补充内容 (2025-5-11 15:16):

我想隐藏一个exe或者指定任务管理里面的进程

你的猫

使用API挂钩

  

DLL命令名	返回值类型	公开	备 注
ZwQuerySystemInformation	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwQuerySystemInformation
参数名	类 型	传址	数组	备 注
SystemInformationClass	整数型
SystemInformation	整数型
SystemInformationLength	整数型
ReturnLength	整数型

DLL命令名	返回值类型	公开	备 注
RtlAdjustPrivilege	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
RtlAdjustPrivilege
参数名	类 型	传址	数组	备 注
Privilege	整数型
Enable	逻辑型
CurrentThread	逻辑型
Enabled	整数型

子程序名	返回值类型	公开	备 注
隐藏进程

.局部变量 状态, 整数型
.局部变量 已启用, 整数型

' 提升权限
RtlAdjustPrivilege (20, 真, 假, 已启用)

' 这里需要更复杂的代码来操作进程链表
' 实际实现需要更深入的Windows内核知识
' 此处仅为示意

信息框 ("进程隐藏功能需要更复杂的实现", 0, , )

.版本 2<br /> <br /> .DLL命令 ZwQuerySystemInformation, 整数型, "ntdll.dll", "ZwQuerySystemInformation"<br />     .参数 SystemInformationClass, 整数型<br />     .参数 SystemInformation, 整数型<br />     .参数 SystemInformationLength, 整数型<br />     .参数 ReturnLength, 整数型, 传址<br /> <br /> .DLL命令 RtlAdjustPrivilege, 整数型, "ntdll.dll", "RtlAdjustPrivilege"<br />     .参数 Privilege, 整数型<br />     .参数 Enable, 逻辑型<br />     .参数 CurrentThread, 逻辑型<br />     .参数 Enabled, 整数型, 传址<br /> <br /> .子程序 隐藏进程<br />     .局部变量 状态, 整数型<br />     .局部变量 已启用, 整数型<br />     <br />     ' 提升权限<br />     RtlAdjustPrivilege(20, 真, 假, 已启用)<br />     <br />     ' 这里需要更复杂的代码来操作进程链表<br />     ' 实际实现需要更深入的Windows内核知识<br />     ' 此处仅为示意<br />     <br />     信息框("进程隐藏功能需要更复杂的实现", 0, , )

或者进程傀儡

  

DLL命令名	返回值类型	公开	备 注
OpenProcess	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
OpenProcess
参数名	类 型	传址	数组	备 注
dwDesiredAccess	整数型
bInheritHandle	逻辑型
dwProcessId	整数型

DLL命令名	返回值类型	公开	备 注
VirtualAllocEx	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
VirtualAllocEx
参数名	类 型	传址	数组	备 注
hProcess	整数型
lpAddress	整数型
dwSize	整数型
flAllocationType	整数型
flProtect	整数型

子程序名	返回值类型	公开	备 注
注入系统进程

.局部变量 进程句柄, 整数型
.局部变量 线程ID, 整数型

' 查找explorer.exe等系统进程
' 这里需要实现进程枚举功能

' 打开目标进程
进程句柄 ＝ OpenProcess (2035711, 假, 目标进程ID)

' 在目标进程中分配内存
VirtualAllocEx (进程句柄, 0, 1024, 4096, 64)

' 这里需要写入代码并创建远程线程
' 实际实现较为复杂

.版本 2<br /> <br /> .DLL命令 OpenProcess, 整数型, "kernel32.dll", "OpenProcess"<br />     .参数 dwDesiredAccess, 整数型<br />     .参数 bInheritHandle, 逻辑型<br />     .参数 dwProcessId, 整数型<br /> <br /> .DLL命令 VirtualAllocEx, 整数型, "kernel32.dll", "VirtualAllocEx"<br />     .参数 hProcess, 整数型<br />     .参数 lpAddress, 整数型<br />     .参数 dwSize, 整数型<br />     .参数 flAllocationType, 整数型<br />     .参数 flProtect, 整数型<br /> <br /> .子程序 注入系统进程<br />     .局部变量 进程句柄, 整数型<br />     .局部变量 线程ID, 整数型<br />     <br />     ' 查找explorer.exe等系统进程<br />     ' 这里需要实现进程枚举功能<br />     <br />     ' 打开目标进程<br />     进程句柄 ＝ OpenProcess(2035711, 假, 目标进程ID)<br />     <br />     ' 在目标进程中分配内存<br />     VirtualAllocEx(进程句柄, 0, 1024, 4096, 64)<br />     <br />     ' 这里需要写入代码并创建远程线程<br />     ' 实际实现较为复杂