通过远程线程注入,来使得木马运行在目标进程中,随意访问目标进程的内存空间,最后这个动态链接库里的代码就成为其他进程的一部分来实现了自身的隐藏执行,通过调用"hook"机制,监视用户的输入输出 *** 作,截取有用的资料等 *** 作。这种木马的实际执行体是一个dll文件,由于Windows系统自身就包含着大量的dll文件,谁也无法一眼看出哪个dll文件不是系统自带的,所以这种木马的隐蔽性又提高了一级,而且它的执行方式也更加隐蔽,这是由Windows系统自身特性决定的,Windows自身就是大量使用dll的系统,许多dll文件在启动时便被相关的应用程序加载进内存里执行了,可是有谁在进程里直接看到过某个dll在运行的?因为系统是把dll视为一种模块性质的执行体来调用的,它内部只包含了一堆以函数形式输出的模块,也就是说每个dll都需要由一个用到它的某个函数的exe来加载,当dll里的函数执行完毕后就会返回一个运行结果给调用它的exe,然后dll进程退出内存结束这次执行过程,这就是标准的dll运行周期,而采用了"线程注射"技术的dll则不是这样,它们自身虽然也是导出函数,但是它们的代码是具备执行逻辑的,这种模块就像一个普通exe,只是它不能直接由自身启动,而是需要有一个特殊作用的程序(称为加载者)产生的进程把这个dll的主体函数载入内存中执行,从而让它成为一个运行中的木马程序。
这需要第三方软件实现,以HideToolz为例介绍下方法:
1.百度搜索下载HideToolz,双击打开该压缩包,再直接双击该软件即可打开该软件了。并且在软件里面可以看见目前的进程数为多少个。
2.启动任务管理器,在 HideToolz 里面找到想要隐藏的运行程序,鼠标单击右键,选择隐藏,然后在任务管理器里面就很清楚的看见想隐藏的运行程序已经不见了。
HIDETOOLZ.设置为开机启动.在选项里边选上.重启保护.
然后隐藏掉你要隐藏的进程.
可以隐藏任何第三方进程扫描到自身和它所隐藏的进程.
难点.不能隐藏自身的启动项.不能隐藏通知区域的自身图标(就显示时间的那个地方).
麻烦的方法.每次开机.打开所要用的软件后.打开这个软件隐藏.
另外的方法.尝试找个厉害的黑客.
把你所用的软件的所有DLL注入到其他程序里边.
然后修改比如QQ.在系统中进程的名字.和挂钩DLL的连接情况.
修改成系统服务或者进程最安全.不过可能会给360查出来.
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)