不知这里工作了的有多少，真想号召一下，用驱动反调试可以，隐藏进程这种事还是别做，以后病毒都用上这玩意了，对整个网络来说百害无一利。

晕倒～
放在黑基网站，估计很快会被用到木马及黑客工具上
以后也许会被各大杀软“通辑”

是啊是啊，为了我们自己的网络环境，还是别搞隐藏进程了吧。

只要像原来一样加个引导条就解决问题．

最初由 hunder 发布
不知道是不是好东西。。喜欢的DOWN吧～～！！！

http://soft.hackbase.com/48/20050326/6435.html

除了无进程，有进程而隐藏的根本没用。
用一些牛软件轻易摆平

木马隐藏进程是很容易被发现的。
有很多工具可以做到。
所以木马病毒之类若用隐藏进程，
那没有什么好怕的。
就是给破解带来更多麻烦

无语。。。这个版本应该木马应用价值不大  发现有很多问题

这个加密壳以后不更新了

最初由 vcasm 发布
无语。。。这个版本应该木马应用价值不大 发现有很多问题

这个加密壳以后不更新了

实在是无语，别人用在哪是使用者的事，跟兄台无关呀。。。

本来想跟vcasm发邮件的，可惜设置了拒收。

不得不借这里跟vcasm说一下，顺便也跟其它造壳的网友说一下我的观点。我是极力
反对壳加入隐藏进程这样的功能的。这样的功能在反调试方面的用处有多大，我想
很难评定，熟悉内核的朋友应该可以比较容易把这一层去掉。

我不是靠破解吃饭的，我在这个论坛上发布过源码，我发的源码跟这里很多人不一
样，我主要是用C++，而不是asm,因为我是一个程序员，我工作用的也是C++，破解
只是我的业余爱好。我之所以要说明这一点，只是想指明，我绝不是因为个人利益
原因，反对加壳采用隐藏进程这样的手段的。

我强调的是，为了网络而不用这样的技术手段。别的技术手段我从未反对过，在心里
是支持的。有些朋友以只谈论技术为名反对，我还要在这里辩护一下。

当我一年以前还在学校的时候，也许我会跟大家想的一样，只谈论技术。但是工作
这段时间以来，让我想到了更多，技术不是万能的，搞技术的人，也不能不管外界环
境，说明严重一点，不能因为我是搞技术的，我就不管国家安全与世界和平。

我再分析一下，这个功能对壳重要还是对木马重要。真正搞个共享软件或者商业软件
加个壳发布给用户，应该是不曾想过要把自己的进程隐藏起来的。工作了的朋友应该
知道，在这种情况下如果隐藏进程，当用户一投诉起来，应该是很难交待的。咱们的
技术，终究是要为应用服务的。为什么这个壳很快被放到hackbase上去？应该是他们
觉得这个东西不错吧？

刚才有朋友说了，如果木马用了这样的技术，用一些牛软件可以看得出来，是的，对
于我们在这里混的人来说，的确是这样子。但是跟客户打过交道的人，就知道了，不
能指望大家都去用icesword这样的软件。有的客户弱到光盘没有自动运行就不会安装，
聪明一点的会用任务管理器，但是会用这样的牛软件的人，是少之又少的。

我再举个例子，就拿政府封禁一些网站来说。政府现在查封黄色、反动的网站。如果
只说技术，我想没有人支持的。在学校的时候，我也很反对。现在想想，平时不要紧，
可是等咱有了孩子，这互联网的环境如何，就真得捏把汗了，反动倒不要紧，我想我
将来的孩子不会这么容易被反动迷惑的。黄色的就难说了。如果政府要封黄网，只要
误杀不多，我只会赞成不会反对。假如看雪不是讨论加密解密这样的技术，而是讨论
如何制造武器，大家都把工艺图给贴上来，但只讨论如何增加穿透力，降低后座力和
噪音这样的技术问题。尽管一样是技术，我想警察早把这里端了。

这里的技术很不错，如果稍微加以应用作导向，那就更妙了。听说有很多人写信给老
大要招人，大家这么钻研技术还是很有前途的。在这里讨论技术的人，我想都还是单
纯的，不带什么目的，但也很难说上这儿看的有少数人带着目的，轻则想变相请求破
解个外挂，重则其它的目的倒也不必直说。

最后要说的是，看雪给了我很多，我也会继续在这里奉献，对了vcasm朋友，我想如
果你为了我心寒不再升级这个壳，那是不必要的，我只是对事不对人，不曾反对你
也不曾反对你的壳。我希望你继续做这个并做得更好。就算只是从做人角度考虑，
我想你也不必如此，古人云不为物喜，不为己悲，更何况我又没有在此说脏话坏话，
只是在争一个理字，又何苦要毁自己心血呢？

再回到技术上，如果真要讨论隐藏进程技术，可以，不要集在壳里，咱分开来讨论。
我再说点我的思路，现在隐藏进程说得细一点隐藏线程，大多数是修改
KeServiceDescriptorTable,这样很容易发现。不如直接把ntoskrnl里的对应函数
给改了，我以前在水木发表过一篇文章，介绍了用驱动修改掉这样的API，具体是
直接修改掉NtMapViewOfSection函数，从而改变mfc的行为，事实上，不止mfc的行
为，可以改变任何进程的行为。甚至还可以把这个变成壳，壳里都是伪码，静态分
析完全无用。进程加载的时候，不需要程序与驱动通讯，驱动自然侦测到这是壳程序
并部分解压，同时反调试，有调试器就不解压。你用ring3调试器在入口点处得到的就是
无效数据。一条指令都跟不下去，比themida还狠。然后进程运行时再进一步解压反
调试等等。进程发生异常时，驱动自然去处理，连SEH都不要。ollydbg这样的ring3
调试器彻底玩完。vcasm你要是把这样想法实现了，比隐藏进程有效得多！隐藏进程
不可能商业化，这个一定可以！现在我正打算要写一个恢复和备份
KeServiceDescriptorTable 和KeServiceDescriptorTableShadow 的工具，技术上
应该没有问题，只是一直没有时间。对于kernel方面的技术，如果真要探讨，我还
希望vcasm多多指教。但我不希望大家的一片好心，被某些小人利用。

我说了这么多，都是为了看雪好，为了各位网友好。希望能明白我的苦心。就算不赞成
我的观点也无所谓。但若是以恶言相向，真正心寒失望的是我。

goldenegg 说的有道理
目前发布的这个隐藏进程版本不稳定
以后更新的话作者会保留一个进程不隐藏

说的很对，以后的版本会去除隐藏进程的功能，其实写壳仅仅是爱好，没想过商业应用

谢谢goldenegg对论坛的支持！
喜欢看这类讲道理的帖子，只有这样大家才能受益。

最初由 vcasm 发布
说的很对，以后的版本会去除隐藏进程的功能，其实写壳仅仅是爱好，没想过商业应用

vcasm是当领导的料，能虚心接受合理的建议。

goldenegg考虑问题就是比较深，隐藏进程的弊端我怎么就没想到。

拿壳加木马的人是贱B！！！

goldenegg 用心良苦啊！

支持goldenegg，佩服vcasm...

从goldenegg的话里学习了很多。谢谢

最初由 goldenegg 发布
不知这里工作了的有多少，真想号召一下，用驱动反调试可以，隐藏进程这种事还是别做，以后病毒都用上这玩意了，对整个网络来说百害无一利。

这位老大不会是杀毒公司里的人吧？为了减少你们的麻烦吧？

玩笑之语，别介意

最初由 海雨天风 发布


这位老大不会是杀毒公司里的人吧？为了减少你们的麻烦吧？

玩笑之语，别介意

RING0大战迟早会来临的，VCASM不作，不代表别人不会写这样的壳，其实我也可以写的，一直没这个打算。

ring0大战已经到来了，themida就是很好的一例，themida hook了那么多个系统功能，也没见它隐藏进程啊。我可没说反对进入ring0,不过微软应该会关注这件事了，应该会严格控制一下。至少，在windows server 2003下，administrator用户的SE_LOAD_DRIVER_NAME没有打开，需要自己lookup一下。

ps: 大家都用ring0冲突比较大，可能以后你的机器装了几个软件后就频频重起了。比如，如果你试图恢复themida干掉的系统服务，它立即重起机器。假如你写了一个壳，也要用到这个系统服务，这样，同时运行程序，你的机器就没法不重起了。。。哈哈哈。

重申一下我说的那么多也没有反对用ring0,这个没必要反对，确实是可以发展的技术。