首页
社区
课程
招聘
显示被EncryptPE 隐藏的进程,附源代码
发表于: 2006-5-27 16:47 9560

显示被EncryptPE 隐藏的进程,附源代码

2006-5-27 16:47
9560

只要运行 ShowProcess.exe就可显示隐藏的进程。。
比如,先运行ImportREC.exe再运行ShowProcess.exe,就可以找到隐藏的进程

#include <Windows.h>
#include <Psapi.h>
#pragma comment (lib,"Psapi.lib")
int ShowProcess(HANDLE hd,DWORD address);
void main_()
{
        DWORD dll;
        DWORD aProcesses[1024], cbNeeded;
        int cProcesses,i;
        HANDLE hProcess;
        dll =(DWORD)GetProcAddress(LoadLibrary("ntdll.dll"),"ZwOpenProcess");

        if( !EnumProcesses(aProcesses,sizeof(aProcesses), &cbNeeded))
        {
                return;
        }
        cProcesses = cbNeeded / sizeof(DWORD);

        for(i=0;i<cProcesses;i++)
        {
                hProcess=OpenProcess( PROCESS_VM_WRITE| PROCESS_CREATE_THREAD |
                        PROCESS_VM_OPERATION| PROCESS_QUERY_INFORMATION|PROCESS_VM_READ,
                        FALSE, aProcesses[i]);
                if(hProcess==NULL)
                        continue;
                ShowProcess(hProcess,dll);
        }
}
int ShowProcess(HANDLE hd,DWORD address)
{
        DWORD old;
        SIZE_T read;
        char befor[10];
        ReadProcessMemory(hd,(LPCVOID)address,befor,5,&read);
        if((UCHAR)*befor!=0xb8 && (UCHAR)*(befor+1)!=0x80)
        {
                ZeroMemory(befor,10);
                *befor=0xb8;
                *(befor+1)=0x80;
                VirtualProtectEx((HANDLE)hd,(LPVOID)address,5,PAGE_EXECUTE_READWRITE,&old);
                WriteProcessMemory((HANDLE)hd,(LPVOID)address,befor,5,&read);
                VirtualProtectEx((HANDLE)hd,(LPVOID)address,5,old,&old);
        }
        return 0;
}


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (13)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
做个首位,顶
2006-5-27 17:34
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
支持呀,不错的
2006-5-28 20:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
很不错 正在测试
2006-5-28 22:03
0
雪    币: 97697
活跃值: (200824)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
2006-5-28 22:05
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
写的不错!!支持!!
2006-5-29 15:01
0
雪    币: 241
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
支持,学习ING
2006-5-29 18:17
0
雪    币: 241
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
支持,收藏
2006-5-30 22:15
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
9
编译为DLL挂到importrem或者lordpe 上不是更好。
2006-6-1 08:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这样的不错,感觉就是好
2006-6-1 21:15
0
雪    币: 214
活跃值: (70)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
为什么要先运行ImportREC.exe??
2006-6-1 23:45
0
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
一片空白,什么都没找到?
2006-6-2 01:46
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
脱钩
2006-6-9 14:58
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14

~!!!!!!
2006-6-15 16:13
0
游客
登录 | 注册 方可回帖
返回
//