如何在WIN2000下按‘CTRL+ALT+DEL’后看不到正在运行的程序！ (200分)

tomore · 2001-09-09

或者不被删除... 分数还可以加的.

wagxu · 2001-09-09

用RegisterServiceProcess(ProcessID:Long,Type:Long)

iseek · 2001-09-09

我有个控件，很好使。要不要？ 我的Email：oldice@163.net

tomore · 2001-09-09

iseek，你好： 要的，谢谢，请发到这个地址． 我给你加分．．．

tomore · 2001-09-09

iseek，你好： 要的，谢谢，请发到这个地址． yjh@tomore.com 我给你加分．．．

iseek · 2001-09-10

已经寄出

教父 · 2001-09-10

http://www.patching.net/shotgun/trojan4.htm

wql · 2001-10-22

继续!

gsw798 · 2002-08-15

我觉得我这个方法也挺好使。 Application.Title:='' 这样他就找不到了。

duducat · 2002-08-16

在2000下面，Application.Title:=''是可行的！但…… 要真正要隐藏exe文件，嘿嘿，在2000下面确实很困难， 但并非不是不可以作到的！我发现老外的spectator这个软件就作得很好了 可行要卖99$美元，而且几乎上不可能盗版的！据我所知是原来那个sub7 小组成员开发的。技术上应该是世界一流的吧！有美元的高手可以试试哟 ，真的是很厉害拉！更网络摄像机差不多，我用过几次破解的，都对系统 产生了不良后果，后来没有办法都重装了！！（总不能每天裸体让人家看你 的机子吧！） …… 现在国内一般都是用dll文件代替exe文件功能挂入到其他，如explorer.exe 文件中,这中方法我一直不喜欢，感觉到技术上不地道！：） 鄙人愚钝，研究了一年多，总算有点眉目了，基本上可以骗过一般的进程管理 软件了！可惜还不完美，跟老外的还是没得比……，有意向的朋友，可以一起研究哟

wukw · 2002-08-18

CWnd *pWnd = CWnd::FindWindow(NULL,"Hide"); // 其中"Hide"是你应用程序的标题，把它改成别的程序的标题，它也能隐藏别的程序,比如关闭IE空窗口 CWnd *pWnd = CWnd::FindWindow(NULL,"about:blank - "); if (pWnd) pWnd->ShowWindow(pWnd->IsWindowVisible()?SW_HIDE:SW_SHOW); VC下就是这么简单。但是这样隐藏应用程序没问题，但进程一栏，依然你能看到你的程序。 有个投机取巧的办法是：把你的程序命名成 intranet、systemid等等。 估计大多数的人以为这是个系统程序，认出来了也没几个人动手强行关闭它。

jsxjd · 2002-08-18

应该是第一种回答，作为一个服务来运行。

Say88888888 · 2003-03-10

给我来一分控件，只要VC++的，Delphi的我会了啊

fpsky · 2003-03-10

以下是我在experts提出的关于Windows2000下进程隐身的问题 Question: Hide my program  Date: 12/27/2000 01:00AM PST From: bruce_luo Status: Previously Asked Question  Points: 75    I want develop a server program like LAN proxy server, but how can I hide my program in Task List(TaskMgr.exe)? I try use RegisterServiceProcess function, but this function not support Win2000. I know somebody already used OpenProcess function to hided program. but how to do? Sorry for my english -  it's rather bad . Bruce Luo - Dragon P.C. Comment From: Madshi  Date: 12/27/2000 02:17AM PST For win2000 you need to make your application be a service. Look here for some infos about services: http://www.jgsoftware.com/nt.htm Regards, Madshi. Comment From: tongalite  Date: 12/27/2000 02:06PM PST I found this.... Perhaps it will help you... It's short and sweet! Preventing Applications from Showing in the Task Bar . The code below will prevent your application from showing in the Windows Task bar and the Task list. Using it is pretty straightforward: in your DPR file, after Application.Initialize, set Application.Showmainform to False. Add this code: SetWindowLong( application.handle, GWL_EXSTYLE,               GetWindowLong( application.handle, GWL_EXSTYLE )                 or WS_EX_TOOLWINDOW and not WS_EX_APPWINDOW ); ------------------------------------------- so-long! Tony Comment From: inthe  Date: 12/28/2000 12:51AM PST you cant just execute services, to create them you can use File-New-Service Application. (if you have that option else youll need to add SvcMgr to the uses and create manually.) then when youve made it you can use from dos prompt project1 /install or project1 /uninstall to install and uninstall the service then net start service2 net stop service2 or use control panel-admin tools-services to start and stop it. below is example of a service and below that is example of starting and stopping a service from code : go to the control panel - administrative tools - services to see it stop and start when the buttons are clicked in our delphi app.(may have to press refresh in service window) the service (just beeps the speaker every 5 secs) : unit Unit1; interface uses  Windows, Messages, SysUtils, Classes,SvcMgr, ExtCtrls  ; type  TService2 = class(TService)    Timer1: TTimer;    procedure Timer1Timer(Sender: TObject);  private    { Private declarations }  public    function GetServiceController: TServiceController; override;    { Public declarations }  end; var  Service2: TService2; implementation {$R *.DFM} procedure ServiceController(CtrlCode: DWord); stdcall; begin  Service2.Controller(CtrlCode); end; function TService2.GetServiceController: TServiceController; begin  Result := ServiceController; end; procedure TService2.Timer1Timer(Sender: TObject); begin MessageBeep(1); end; end. control app(not nessesary if you use control panel) : unit Unit1; interface uses  Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,  StdCtrls,WinSvc; type  TForm1 = class(TForm)    Button1: TButton;    Button2: TButton;    procedure Button1Click(Sender: TObject);    procedure Button2Click(Sender: TObject);  private    { Private declarations }  public    { Public declarations }  end; var  Form1: TForm1; implementation {$R *.DFM} function ServiceStart(sMachine, sService: String) : Boolean; var   schm,   schs: SC_Handle;   ss: TServiceStatus;   psTemp: PChar;   dwChkP: DWord; begin   ss.dwCurrentState := 0;  schm := OpenSCManager(PChar(sMachine), nil, SC_MANAGER_CONNECT);   if (schm>0) then   begin    schs := OpenService(schm, PChar(sService), SERVICE_START or SERVICE_QUERY_STATUS);     if (schs>0) then    begin      psTemp := nil;       if (StartService(schs, 0, psTemp)) then         if (QueryServiceStatus(schs, ss)) then          while (SERVICE_RUNNING<>ss.dwCurrentState) do           begin            dwChkP := ss.dwCheckPoint;             Sleep(ss.dwWaitHint);            if (not QueryServiceStatus(schs, ss)) then             Break;             if ss.dwCheckPoint <> 0 then               Break;           end;       CloseServiceHandle(schs);     end;    CloseServiceHandle(schm);   end;  Result := SERVICE_RUNNING=ss.dwCurrentState; end; function ServiceStop(sMachine, sService: String) : Boolean; var   schm,   schs: SC_Handle;   ss: TServiceStatus;  dwChkP: DWord; begin schm := OpenSCManager(PChar(sMachine), nil, SC_MANAGER_CONNECT);  if (schm>0) then   begin     schs := OpenService(schm, PChar(sService), SERVICE_STOP or SERVICE_QUERY_STATUS);     if (schs>0) then     begin      if (ControlService(schs, SERVICE_CONTROL_STOP, ss)) then         if (QueryServiceStatus(schs, ss)) then          while (SERVICE_STOPPED<>ss.dwCurrentState) do          begin           dwChkP := ss.dwCheckPoint;             Sleep(ss.dwWaitHint);             if (not QueryServiceStatus(schs, ss)) then               Break;             if ss.dwCheckPoint <> 0 then               Break;           end;       CloseServiceHandle(schs);     end;    CloseServiceHandle(schm);   end;   Result := SERVICE_STOPPED=ss.dwCurrentState; end; procedure TForm1.Button1Click(Sender: TObject); begin ServiceStart('','Service2'); file://ServiceStart('//computername','Alerter'); file://this would be for remote services end; procedure TForm1.Button2Click(Sender: TObject); begin ServiceStop('','Service2'); end; end. you can also install it from code (still working on that part myself) using CreateService etc.. theres very little docs on services so if anyone else has any feel free to add here

wql · 2003-03-21

我帮你顶！

duducat · 2003-03-21

在同一个进程空间运行两个程序(进程隐藏)加API函数拦截技术可以完美解决此问题 …………

duducat · 2003-03-21

（在同一个进程空间运行两个程序(进程隐藏)加API函数拦截技术（绝对原创）  具体实现，我已经用VC++和Delphi彻底在9x和nt完美解决，不过暂时不想公布出来了） 过程才能体会快乐…… 如果大家仍然没有解决，我可以考虑明年公布！ 至于以前的dll木马技术则是早就是垃圾技术了， 希望各位不要再受某些所谓的“高手”误导了 ………… 以下为各位提供一点资料，非本人原创 在同一个进程空间运行两个程序(进程隐藏) 在同一个进程空间运行两个程序 运行环境：Windows NT4.0/Windows 2000 关键字：进程隐藏，API截获，映像加载 众所周知，bo2k可以在一个指定的进程空间(比如explorer.exe进程)做为一个线程运行。本文试图找出一种方法，使得任意exe都可以在其他进程中以线程运行(当然，这里说的"任意"是有条件的，下面会讲到)。 为行文简单起见，我把先加载的exe称为宿主，后加载的exe称为客户。对于上面的例子，explorer.exe为宿主，bo2k.exe为客户。 基本知识 每一个exe都有一个缺省加载基址，一般都是0x400000。如果实际加载基址和缺省基址相同，程序中的重定位表就不需要修正(fixup),否则，就必须修正重定位表； 如果一个程序没有重定位表，而且如果程序不能在缺省基址处加载，那么程序将不能运行。举个例子，Windows95的最低加载基址是0x400000，你在 Windows NT上开发了一个exe，指定其加载基址为0x10000，如果连接时让连接器剥离重定位表，那么他将无法在Windows95下运行。 bo2k为了避免和普通程序冲突，选了一个极其特殊的基址：0x03140000，这个地址一般不会有程序用到。这样bo2k启动后，用WriteProcessMemory将自身复制到宿主进程的 0x03140000地址处，再用CreateRemoteThread远程启动一个线程，从入口点开始执行。 bo2k能够在其他进程空间正常运行，关键有两点： 1)实际加载基址和缺省基址相同，这样就无需修正重定位表。 2)与bo2k隐性联接(implicitly link)的动态联接库在目标进程中的加载基址和bo2k启动时的加载基址一致，这样就无需修改导入函数表。除非只用到ntdll.dll和kernel32.dll两个dll， 否则这点很难保证。bo2k的解决办法是，远程运行的代码不用隐性调用，所有用到API都在远程代码运行后再动态确定(用LoadLibrary和GetProcAddress) 我的目标是让"所有"的程序都能在其他进程空间跑。在这里，"所有"的含义是所有那些"重定位表没有被剥?quot;的32位pe格式的可执行程序。 对于Visual C++，这包括所有Debug版程序和以"/FIXED:NO"选项链接的Release版程序。 对于一般的程序，上面两点都很难满足： 1)绝大多数程序的加载基址都是0x400000，这样，客户exe就很难保证加载到其缺省基址。解决办法只能是修正重定位表。如果，很不幸，这个exe的重定位表被剥离，这个exe就没法在其他进程空间跑。 对于Visual C++，剥离重定位表是Release版exe的缺省设置。可以在工程文件的连接选项中加入"/FIXED:NO"来防止连接器剥离重定位表。 2)很多程序都用隐性联接调用Windows API，而只用到kernel32.dll导出API的程序很少，因此这一点也很难保证。解决办法是重填导入表(import table)。 另外，对于有界面的程序，光修正重定位表和导入表还不够。因为他们都会直接或间接用到GetModuleHandle和LoadResource这些函数。 GetModuleHandle有个特点，如果传递给他的ModuleName为NULL，则返回宿主exe的模块句柄。LoadResource也类似，如果传递给他的模块句柄为NULL，则认为是宿主exe模块，类似的API还有一些，不一一列举。 客户exe调用这些API显然会得到错误的结果。因此必须截获这些API做特殊处理。 综合上面分析，要让两个程序共享一份进程空间，要做的工作有： 1)打开进程边界：用WriteProcessMemory向宿主进程注入代码，用CreateRemoteThread启动远程代码； 2)在远程代码中，加载客户exe，必要时修正重定位表和填充dll导入表。 3)截获GetModuleHandle，LoadResource等API，在客户exe以缺省参数调用时返回客户exe的模块句柄，而不是宿主句柄。 根据以上思路，我写了remote.dll，导出三个函数：RemoteRunA，RemoteRunW，和RemoteCall。 原型分别为： BOOL WINAPI RemoteRunA( DWORD processId, LPCSTR lpszAppPath, LPCSTR lpszCmdLine, int nCmdShow ); BOOL WINAPI RemoteRunW( DWORD processId, LPCWSTR lpszAppPath, LPCWSTR lpszCmdLine, int nCmdShow ); BOOL WINAPI RemoteCall( DWORD processId, PVOID pfnAddr, PVOID pParam, DWORD cbParamSize, BOOL fSyncronize ); RemoteRunA用于在宿主进程中加载执行客户exe； RemoteRunW是RemoteRunA的unicode版本； RemoteCall实现远程注入并运行代码。 调用例子： 假如宿主exe为Depends.exe(我经常使用的宿主进程)，pid为136。客户exe为"C:/WINNT/system32/CALC.EXE"， RemoteRunA( 136, "C://WINNT//system32//CALC.EXE", NULL, SW_SHOW ); 或, RemoteRunW( 136, L"C://WINNT//system32//CALC.EXE", NULL, SW_SHOW ); RemoteCall是一个很cool的副产品，可以在任意宿主进程运行一系列你自己精心准备的代码。 远程代码无需特殊处理，就像在本地调用一样。RemoteCall支持很多特性： 可以对Windows API进行隐性调用(无需用LoadLibrary和GetProcAddress动态确定) 可以使用全局/静态变量(除了不能动态初始化)； 可以使用编译时数据，特别是字符串常量； 支持异常处理； 支持源码级调试； 支持同步、异步调用； 对于同步调用，可以取得返回结果和错误号； 对远程代码做了异常保护，代码执行错误不会使宿主进程崩溃。 RemoteCall的唯一缺点是效率不高(当然，还有一个缺点，你的exe必须是可重定位的)。 调用例子： 在Windows 2000中，对有密码保护风格的Edit control调用SendMessage(hwnd, WM_GETTEXT,...)试图得到密码内容时， 系统会检查调用SendMessage的进程和Edit control所在的进程是否相同，不同则返回空字符串，调用失败。 解决办法显然应该是在目标进程中调用SendMessage。 利用RemoteCall，可以很容易地实现： typedef struct _tagGETPASS { HWND hwndPassword; // in char szPassText[1024]; // out }GETPASS; static int *_p = NULL; BOOL NullFunction() { // 可以用静态变量和异常保护。 __try { *_p = 0; }__except(EXCEPTION_EXECUTE_HANDLER){} return TRUE; } // 准备在远程运行的代码 BOOL WINAPI RemoteGetPasswordText( GETPASS* pgp ) { // 可以使用相对调用(near call)，没什么用，演示一下 NullFunction(); // 隐性调用Windows API if( SendMessageA( pgp->hwndPassword, WM_GETTEXT, sizeof(pgp->szPassText)-1, (LPARAM)pgp->szPassText ) ) ) { MessageBoxA( NULL, pgp->szPassText, "Great!!", // 可以使用字符串常量 MB_OK ); return TRUE; } return FALSE; } void GetPasswordText( HWND hwnd ) { GETPASS gp; gp.hwndPassword = hwnd; DWORD processId; GetWindowThreadProcessId( hwnd, &processId ); HMODULE hLib = ::LoadLibrary( "remote.dll" ); if( hLib != NULL ) { typedef BOOL (WINAPI *PFN_RemoteCall)( DWORD processId, PVOID pfnAddr, PVOID pParam, DWORD cbParamSize, BOOL fSyncronize ); PFN_RemoteCall fnRemoteCall = (PFN_RemoteCall)::GetProcAddress( hLib, "RemoteCall" ); if( fnRemoteCall != NULL ) { if( fnRemoteCall( processId, RemoteGetPasswordText, &gp, sizeof(gp), TRUE ) ) MessageBoxA( NULL, gp.szPassText, "we get the password!!", MB_OK ); } ::FreeLibrary( hLib ); } } RemoteRun的调用例子： void PrintUsage() { printf( "/tUsage: rmExe <target process id> <Exe file path>/n" ); } int main(int argc, char* argv[]) { if( argc <= 2) { PrintUsage(); return -1; } int pid = atoi( argv[1] ); if( pid != 0 ) { HMODULE hRemote = ::LoadLibrary( "remote.dll" ); if( hRemote != NULL ) { typedef DWORD (WINAPI *PFN_RemoteRun)( DWORD processId, LPCSTR lpszAppPath, LPSTR lpszCmdLine, int nCmdShow); PFN_RemoteRun fnRemoteRun = (PFN_RemoteRun)::GetProcAddress( hRemote, "RemoteRunA" ); if( fnRemoteRun != NULL ) fnRemoteRun( pid, argv[2], NULL, SW_SHOW ); FreeLibrary( hRemote ); } } return 0; } 应该注意的问题： 1)最困难的部分是加载客户exe，简单的调用LoadLibrary根本不能解决问题，他不会替你修改重定位表和导入表。 另外对于.tls section(用于支持线程本地存储)和.bss section(用于为初始化数据)，我目前还不是很清楚如何处理；希望有人和我一起探讨； 2)目前remote.dll还不能支持在一个进程空间运行三个或更多程序。问题出在我在remote.dll中维护着一个客户exe的thread列表， 用于判断谁调用了GetModuleHandle等API，目前只能处理一个客户exe。这个问题不难解决； 3)有一些工具可以查看进程中加载的模块列表，如果想做进程彻底隐藏，不想让这些工具检测到我们的模块，在我看来，至少有两种解决办法： 一，不用LoadLibrary，自己写LoadDLL，这看起来似乎很困难，幸运的是，在bo2k的源代码中提供了一套这样的工具(在dll_load.cpp中实现)。 remote.dll中修改重定位表和导入表基本上用的都是dll_load.cpp里的代码。值得注意的是，dll_load.cpp原来的实现中有一点bug，他不能正确处理有Borland的tlink32生成的exe。 具体原因请仔细阅读Matt pietrek的"Windows 95 system programming secrets"， 或msdn文章："Peering Inside the PE: A Tour of the Win32 Portable Executable File Format"，里面讲到了ms linker和borland linker的区别。 二，我自己实现了一种模块剥离技术，可以让进程脱离.exe文件和.dll文件运行。其思想是先对要剥离的exe或dll模块的所有数据做好备份，然后用FreeLibrary或者UnmapViewOfFile卸掉模块， 再把备份的模块数据恢复回来。我以前在csdn上贴过代码的，自己找吧。 4)截获API用的是MS Detours Package 1.3。我不打算附上它的源代码，自己去下载吧：http://research.microsoft.com/sn/detours 5)在截获API时必须挂起其他线程。我用了两个未公开的接口：NtQuerySystemInformation用于枚举线程；NtOpenThread用于得到线程句柄。 推荐一本工具书："Windows NT Native API reference"(中文译名为"Windows NT 本机API参考")，书名大致如此，不必深究。气人的是居然把Navtive 翻为本机，I 服了you。书中列出了很多Native API的原型及其用到的数据结构。虽然翻译巨糙无比，但独此一家，别无选择，买一本参考参考还是值得的，如果你想研究"本机"API的话，

。 运行成功的例子： 在Depends.exe进程中运行Calc.exe； 在Depends.exe进程中运行Acrobat 5.0； 在Depends.exe进程中运行Microsoft Visio 2000； 在Depends.exe进程中运行Process Hacker(我自己写的一个进程查看工具)，用了很多低层接口； 在Process Hacker进程中运行Acrobat 5.0。 唯一失败的例子是以客户身份运行matlab 5.1。这个可执行文件很特殊，有多个code section和data section，还有.tls section和.bss section。 失败原因不是很清楚(主要是没有足够的时间研究)，可能是.tls和.bss section在加载时没有处理好；也可能是某个应该做特殊处理的API没有拦截处理。

duducat · 2003-03-21

至于VXD和NT服务技术，玩的人太多，太滥了，一点意思都没有了 （个人认为也属于垃圾技术了……） 那些觉得自己是高手的人，应该可以轻轻搞定了，在此就不再介绍了

wolaixue · 2003-03-21

。tls问题能解决吗？

如何在WIN2000下按‘CTRL+ALT+DEL’后看不到正在运行的程序！ (200分)

tomore

Unregistered / Unconfirmed

wagxu

Unregistered / Unconfirmed

iseek

Unregistered / Unconfirmed

tomore

Unregistered / Unconfirmed

tomore

Unregistered / Unconfirmed

iseek

Unregistered / Unconfirmed

教父

Unregistered / Unconfirmed

wql

Unregistered / Unconfirmed

gsw798

Unregistered / Unconfirmed

duducat

Unregistered / Unconfirmed

wukw

Unregistered / Unconfirmed

jsxjd

Unregistered / Unconfirmed

Say88888888

Unregistered / Unconfirmed

fpsky

Unregistered / Unconfirmed

wql

Unregistered / Unconfirmed

duducat

Unregistered / Unconfirmed

duducat

Unregistered / Unconfirmed

duducat

Unregistered / Unconfirmed

wolaixue

Unregistered / Unconfirmed

Similar threads