测试一下，看进程隐藏的彻底不彻底-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

测试一下，看进程隐藏的彻底不彻底

发表于: 2006-11-17 20:01 12220

测试一下，看进程隐藏的彻底不彻底

laomms

2006-11-17 20:01

12220

测试一下2K/XP系统下进程隐藏效果，绝非病毒，放心测试~~

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

test.rar （2.30kb，60次下载）

收藏・1

免费・7

支持

最新回复 (25) 1 2 ▶
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 2 楼试了一下，可以了 2006-11-17 22:06 0
张大善人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	张大善人 3 楼好像可以，但不知道干啥用的 2006-11-17 22:18 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 4 楼最初由张大善人* 发布* 好像可以，但不知道干啥用的假如这是个病毒或木马，可以躲过杀毒软件，假如这是个目的不良的后台程序，可以在后台悄悄运行干些非法目的，假如这是个加壳软件，你无法进行动态分析或转储，假如你想分析一些算法，只能静态分析，调试器也附加不了，更不能进行动态调试... 2006-11-18 07:13 0
testttt 雪币： 209 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	testttt 5 楼晕，还以为是驱动级的呢～～～在我这里引发了数据执行保护 2006-11-18 11:10 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 6 楼有创意，注入到progman.exe执行~ 2006-11-18 11:36 0
testttt 雪币： 209 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	testttt 7 楼最初由 prince* 发布* 有创意，注入到progman.exe执行~ explorer.exe吧 2006-11-18 12:41 0
边城浪子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	边城浪子 8 楼汗，注到IE是什么样的？ 2006-11-18 14:38 0
kaien 雪币： 234 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	kaien 4 9 楼可以了！注入到进程explore.exe里，并生成了一条线程。这边测试成功。不过那个确定键不可以按，否则会报explore出错，并重建桌面的... 2006-11-19 02:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 10 楼强烈要求楼主开源............. 2006-11-19 11:10 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 11 楼强烈要求楼主开源............. !!!!!! 2006-11-19 11:39 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 12 楼我该如何关闭它呢(killall -9 exploer)? 运行后发现鼠标单击变成双击了:( 2006-11-21 19:13 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 13 楼重启exploer好像鼠标还是. 呵呵另外4楼说静态分析, 请假如何dump这个thread的代码呢? 2006-11-21 19:40 0
kaien 雪币： 234 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	kaien 4 14 楼最初由 xygwf* 发布* 我该如何关闭它呢(killall -9 exploer)? 运行后发现鼠标单击变成双击了:( 直接点右上角的叉子就可以退出了, 干吗kill掉explore~XD 2006-11-21 20:45 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 15 楼用汇编写的啊. 2007-1-19 19:09 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 16 楼用冰刃也看不到啊 2007-1-22 15:46 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 17 楼再增加一些功能试试： 1、访问网络，看看防火墙能不能拦住。我用的是looknstop，驱动级的防火墙啊 2、运行test.exe后，资源管理器看不到，隐藏自身 2007-1-22 15:57 0
jinyh 雪币： 312 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 54 粉丝 0 关注私信	jinyh 18 楼楼主强,将那个test开个源啊,让我们学习学习 2007-1-22 21:25 0
py星雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	py星 19 楼什么东西啊? 没注册码啊进不去啊得自己破吗? 2007-1-28 15:20 0
wongmokin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	wongmokin 20 楼防火墙提示, test.exe 要注入 explorer.exe 是否允许? 2007-2-1 16:37 0
wongmokin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	wongmokin 21 楼防火墙提示, test.exe 要注入 explorer.exe 是否允许? 使用 Symantec Process Viewer 5 中的进程监视器可以看到程序名 ID 路径 test.exe 4122 "D:\Temp\7zO33.tmp\TEST.exe" 等等信息 win2k 的任务管理器里看不到 test.exe 的信息 2007-2-1 16:46 0
xicao 雪币： 243 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 22 楼 pjf的《暴力注入explorer》 http://www.whitecell.org 白细胞网站的《绕过防火墙的反向连接报警》是将自己代码注入IE这个傀儡进程 CreateRemoteThread SetThreadContext 替换现有服务的DLL，则隐身到vchost.exe 修改目标文件引入表修改注册表: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls winlogon通知包,xx通知包感染PE文件 ........... 2007-2-9 15:19 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 23 楼最初由 wongmokin* 发布* 防火墙提示, test.exe 要注入 explorer.exe 是否允许? 使用 Symantec Process Viewer 5 中的进程监视器可以看到程序名 ID 路径 ........ 好强的防火墙！ 2007-2-10 07:17 0
huozhe 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 53 粉丝 0 关注私信	huozhe 24 楼 Kaspersky Internet Security 6.0 上传的附件： tt.jpg （43.80kb，52次下载） 2007-2-10 23:42 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 25 楼最初由 xicao* 发布* pjf的《暴力注入explorer》 http://www.whitecell.org 白细胞网站的《绕过防火墙的反向连接报警》是将自己代码注入IE这个傀儡进程 ........ 学习，学习， 2007-2-15 21:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

laomms

发帖

384

回帖

1370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 2 楼试了一下，可以了 2006-11-17 22:06 0
张大善人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	张大善人 3 楼好像可以，但不知道干啥用的 2006-11-17 22:18 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 4 楼最初由张大善人* 发布* 好像可以，但不知道干啥用的假如这是个病毒或木马，可以躲过杀毒软件，假如这是个目的不良的后台程序，可以在后台悄悄运行干些非法目的，假如这是个加壳软件，你无法进行动态分析或转储，假如你想分析一些算法，只能静态分析，调试器也附加不了，更不能进行动态调试... 2006-11-18 07:13 0
testttt 雪币： 209 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	testttt 5 楼晕，还以为是驱动级的呢～～～在我这里引发了数据执行保护 2006-11-18 11:10 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 6 楼有创意，注入到progman.exe执行~ 2006-11-18 11:36 0
testttt 雪币： 209 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	testttt 7 楼最初由 prince* 发布* 有创意，注入到progman.exe执行~ explorer.exe吧 2006-11-18 12:41 0
边城浪子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	边城浪子 8 楼汗，注到IE是什么样的？ 2006-11-18 14:38 0
kaien 雪币： 234 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	kaien 4 9 楼可以了！注入到进程explore.exe里，并生成了一条线程。这边测试成功。不过那个确定键不可以按，否则会报explore出错，并重建桌面的... 2006-11-19 02:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 10 楼强烈要求楼主开源............. 2006-11-19 11:10 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 11 楼强烈要求楼主开源............. !!!!!! 2006-11-19 11:39 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 12 楼我该如何关闭它呢(killall -9 exploer)? 运行后发现鼠标单击变成双击了:( 2006-11-21 19:13 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 13 楼重启exploer好像鼠标还是. 呵呵另外4楼说静态分析, 请假如何dump这个thread的代码呢? 2006-11-21 19:40 0
kaien 雪币： 234 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 10 回帖 109 粉丝 0 关注私信	kaien 4 14 楼最初由 xygwf* 发布* 我该如何关闭它呢(killall -9 exploer)? 运行后发现鼠标单击变成双击了:( 直接点右上角的叉子就可以退出了, 干吗kill掉explore~XD 2006-11-21 20:45 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 15 楼用汇编写的啊. 2007-1-19 19:09 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 16 楼用冰刃也看不到啊 2007-1-22 15:46 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 17 楼再增加一些功能试试： 1、访问网络，看看防火墙能不能拦住。我用的是looknstop，驱动级的防火墙啊 2、运行test.exe后，资源管理器看不到，隐藏自身 2007-1-22 15:57 0
jinyh 雪币： 312 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 54 粉丝 0 关注私信	jinyh 18 楼楼主强,将那个test开个源啊,让我们学习学习 2007-1-22 21:25 0
py星雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	py星 19 楼什么东西啊? 没注册码啊进不去啊得自己破吗? 2007-1-28 15:20 0
wongmokin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	wongmokin 20 楼防火墙提示, test.exe 要注入 explorer.exe 是否允许? 2007-2-1 16:37 0
wongmokin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	wongmokin 21 楼防火墙提示, test.exe 要注入 explorer.exe 是否允许? 使用 Symantec Process Viewer 5 中的进程监视器可以看到程序名 ID 路径 test.exe 4122 "D:\Temp\7zO33.tmp\TEST.exe" 等等信息 win2k 的任务管理器里看不到 test.exe 的信息 2007-2-1 16:46 0
xicao 雪币： 243 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 22 楼 pjf的《暴力注入explorer》 http://www.whitecell.org 白细胞网站的《绕过防火墙的反向连接报警》是将自己代码注入IE这个傀儡进程 CreateRemoteThread SetThreadContext 替换现有服务的DLL，则隐身到vchost.exe 修改目标文件引入表修改注册表: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls winlogon通知包,xx通知包感染PE文件 ........... 2007-2-9 15:19 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 23 楼最初由 wongmokin* 发布* 防火墙提示, test.exe 要注入 explorer.exe 是否允许? 使用 Symantec Process Viewer 5 中的进程监视器可以看到程序名 ID 路径 ........ 好强的防火墙！ 2007-2-10 07:17 0
huozhe 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 53 粉丝 0 关注私信	huozhe 24 楼 Kaspersky Internet Security 6.0 上传的附件： tt.jpg （43.80kb，52次下载） 2007-2-10 23:42 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 25 楼最初由 xicao* 发布* pjf的《暴力注入explorer》 http://www.whitecell.org 白细胞网站的《绕过防火墙的反向连接报警》是将自己代码注入IE这个傀儡进程 ........ 学习，学习， 2007-2-15 21:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复