挖礦進程隱藏
⑴ 怎麼把任務管理器中的進程隱藏掉
任務管理器中進程是無法隱藏的,如果想蒙別人是有辦法的,第一種就和樓上說的一樣,照別的軟體調用,第二種,修改任務管理器,樓主可以用編程軟體(在這里建議使用vb6)寫個外形一樣的,在裡面做欺騙,也只能做個樣子而已,不能完全隱藏,進程是每個程序都有的,如果沒了進程程序就沒有運行,但是進程是可以偽裝的,樓主可以把它偽裝成系統文件的進程,即可達到隱身的目的,建議偽裝成svchost.exe因為普通情況下,系統有多個svchost.exe的進程,且為系統核心進程,結束後系統會重啟,可以偽裝
⑵ 如何徹底隱藏exe進程
一般有4種方法:
1)DLL掛靠大發
程序改寫為DLL結構,掛靠Explorer.exe上運行
好處:沒進程實體,普通進程查看無效
缺點:可以通過代碼叫Explorer.exe Unload你的Dll,呵呵,還有Explorer出錯時,會重新啟用,那個時候需要重新掛靠你的DLL
改進:用Debug許可權掛靠WinLogon.exe,哈哈,安全系數就高很多,WinLogon死了,你也就死機了
LYSoft主頁的http://ly.activepower.net/projects/No Ctrl+Alt+Del.rar是DLL掛靠方法的例子,修改就可用
2)API Hook大發
關閉程序的實質是什麼?TerminateProcess的API!
只要你的Application.Title:=『』就不會出現在任務管理器的第一頁
第二頁會出現的,但不怕,我Hook了TerminateProcess就可以保證安全了
TerminateProcess可以Hook?可以,但Hook了沒用,Handle是未知的
因此實質上要Hook的是OpenProcess,只要是我的進程就拒絕打開
好處:不怕你見的到,你就是關不了我
缺點:CMD下的命令行方法Hook不到
改進:能夠Hook系統服務就一定可以,可惜難度大,需要編寫驅動
LYSoft主頁的http://ly.activepower.net/projects/API Hook.rar是API Hook方法的例子,修改就可用
3)NT內核修改大發
修改NT系統內核對象PsLoadedMoleList上的ActiveProcessLink鏈表就可以在系統上「失蹤」了,但實現這個功能需要驅動支持,沒驅動的方法只能適合XP/2003,因為Nt5.1以上的ZwSystemDebugControl API才能支持內核訪問
好處:你怎麼都見不到進程的
缺點:難度過大,用內核工具仍然可以看見的,很多RootKit木馬就用這個方法的
改進:幾乎是終極大法,沒什麼別的好方法了。
LYSoft主頁的http://ly.activepower.net/projects/NTLowLevel.exe是演示程序,不提供代碼,涉及技術機密,不便奉告
關鍵代碼如下
function HideProcess: boolean;
label Err;
var
EProcess : DWord;
hPM, FLink, BLink: Cardinal;
begin
Result := false;
EProcess := GetCurrentEProcess;
if EProcess < 1 then Exit;
if not ReadVirtualMemory(EProcess+$88, @FLink, 4) then Exit;
if not ReadVirtualMemory(EProcess+$8C, @BLink, 4) then Exit;
if not WriteVirtualMemory(FLink+4, @BLink, 4) then Exit;
if not WriteVirtualMemory(BLink, @FLink, 4) then Exit;
Result := true;
end;
不要問為什麼了,你需要NTDDK的知識才能明白的:)
4)遠程線程大發
沒有實體的存在,沒進程,沒DLL,只有代碼
把代碼直接注入進程空間VirtualAllocEx,用CreateRemoteThread運行,
好處:沒可見的實體,隱蔽性最強
缺點:適合於簡單代碼,復雜的難以保證其可靠性和穩定性,病毒的最愛
改進:不需要什麼了
這個沒演示了,呵呵:)
注入某個進程空間,要涉及到API定位等一系列病毒式操作,在對方的身體運行呀
簡單的代碼可以,復雜的功能就很不適合,一般的程序根本就不適合,所以除非寫病毒,否則不建議用這樣的方法,因為連調試都變得很難
⑶ 挖礦病毒怎麼排查
登錄系統查看任務管理器,查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵,打開文件位置(先要在文件夾選項中選擇顯示隱藏文件及操作系文件)。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件,右鍵編輯打開這個文件查看,可查看到惡意進程與哪個挖礦組織通信。
通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息,一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。
根除病毒:將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行,此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。
如果是Linux系統請參考:網頁鏈接
⑷ 如何隱藏某個軟體的進程
1、下載FU,下載地址: http://clover.by168.com/fu.rar (失效能找的到)
2、關閉殺毒程序後解壓縮文件fu.rar。(因為FU是黑客軟體,會被殺毒的殺了)
3、解壓後可以看見fu下有三個子文件夾,分別是:EXE,fu和Sys
4、進入EXE文件夾,雙擊運行cmd.exe
5、打開第一個~~~~程序
6、查找程序PID。(分XP和其他系統說明)
XP系統:在剛才運行的cmd.exe黑色輸入窗口下輸入tasklist,回車。可以看到程序的PID值。
其他系統:打開任務管理器在進程的選項欄下就可以看見程序PID值。開任務管理器的方法是按三鍵:Ctrl+Alt+Del,注意是三鍵同時按。還有一種打開任務管理器的方法是右鍵單擊任務欄,然後就有任務管理器這個選項。(由於其他系統無tasklist這個命令,所以輸入tasklist會顯示tasklist不是內部或外部命令。)
任務管理器-----查看-----選擇列------把PID勾選上
7、在cmd.exe的窗口下輸入:fu -ph 1180(1180即所查的PID值,你查到什麼就是什麼啰)
fu和-ph和PID值三者之間都有空格呀!
8、這樣程序進程都被屏蔽了。關閉cmd的窗口。可以打開防火牆了
9、可以雙開了,再打開一個相同程序沒問題了~
說明:fu軟體為黑客軟體,
殺毒軟體可能會認為是木馬(因為要隱藏外掛進程,木馬一般要隱藏進程的),
請在使用前關閉殺毒軟體,然後運行結束後再打開。
我們是經過測試的,如果你信不過我們的提供的fu,
你也可以到官方下載
⑸ 怎麼查看系統內隱藏的挖礦程序
嘿嘿,360好用,我現在就用的是360和超級魔法兔子2個
如果說進程
魔法兔子更實用一點
可以在魔法兔子的進程那個選項里
看到所有的進程 系統進程 是綠色的並且註明了是系統進程,其他進程則是黑色的,有顯示那個進程的文件在你電腦中的位置,並且右鍵點那個進程,還會出現在線查該進程的信息,一點開,就有很明確的標注,比如:是否為木馬,是否為錯誤,是否為後台進程,是否佔用內存,是否為間諜,等一系列的說明。
⑹ 怎樣顯示被隱藏的進程
1、找到 C:\boot.ini 這個文件。
如果你找不到。說明你沒有顯示受保護的操作系統文件和沒有顯示隱藏文件。我的電腦-工具-文件夾選項-查看-去掉 隱藏受保護的操作系統文件(推薦) 前面的鉤。然後選中 顯示所有文件和文件夾。-確定
2、找到了這個文件了吧。
3、用記事本打開。
4、看這句:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /execute=optin /fastdetect
把 /execute 改成 /noexecute 保存。
如果保存不成功,請先把此文件設置成普通文件再重試。因為此文件目前是系統隱藏只讀文件。設置方法可以在ms-dos(就是開始-運行-cmd)下輸入 attrib c:\boot.ini -s -h -r 或者在此文件的屬性里把只讀屬性去掉。
5、重啟機器。
6、成功!
⑺ 如何用進程隱藏利器hide隱藏進程
進程的id可以在任務管理器ctrl+alt+del里看到
查看-> 選擇列,把pid選起來,就可以看到每個進程
的唯一標識了
⑻ 有什麼工具能隱藏某個進程從而不被檢測出來
用一些黑客軟體就可以!
比如PMH就可以!
注意,因為本身就是黑客軟體,所以殺毒軟體會報毒,可以放心,不會有事!
用cmd進入當前目錄的DOS狀態,執行以下命令
pmh -List ----> 顯示進程和顯示隱藏進程
pmh -Hide PID ----> 隱藏指定PID數值進程
⑼ 防止植入挖礦程序有什麼好的辦法
看你電腦裝的是什麼監護軟體呀,不要隨意點開一些惡意鏈接還有網頁,還有就是要有安全意識呀,其次電腦上應該有監護軟體才安全一些,如騰訊電腦管家,建議我們要提高自身網路安全意識,在日常使用電腦時,保持騰訊電腦管家等安全軟體時刻運行,對來路不明的鏈接和文件保持警惕,不讓犯罪分子有機可趁。