挖矿进程隐藏
⑴ 怎么把任务管理器中的进程隐藏掉
任务管理器中进程是无法隐藏的,如果想蒙别人是有办法的,第一种就和楼上说的一样,照别的软件调用,第二种,修改任务管理器,楼主可以用编程软件(在这里建议使用vb6)写个外形一样的,在里面做欺骗,也只能做个样子而已,不能完全隐藏,进程是每个程序都有的,如果没了进程程序就没有运行,但是进程是可以伪装的,楼主可以把它伪装成系统文件的进程,即可达到隐身的目的,建议伪装成svchost.exe因为普通情况下,系统有多个svchost.exe的进程,且为系统核心进程,结束后系统会重启,可以伪装
⑵ 如何彻底隐藏exe进程
一般有4种方法:
1)DLL挂靠大发
程序改写为DLL结构,挂靠Explorer.exe上运行
好处:没进程实体,普通进程查看无效
缺点:可以通过代码叫Explorer.exe Unload你的Dll,呵呵,还有Explorer出错时,会重新启用,那个时候需要重新挂靠你的DLL
改进:用Debug权限挂靠WinLogon.exe,哈哈,安全系数就高很多,WinLogon死了,你也就死机了
LYSoft主页的http://ly.activepower.net/projects/No Ctrl+Alt+Del.rar是DLL挂靠方法的例子,修改就可用
2)API Hook大发
关闭程序的实质是什么?TerminateProcess的API!
只要你的Application.Title:=‘’就不会出现在任务管理器的第一页
第二页会出现的,但不怕,我Hook了TerminateProcess就可以保证安全了
TerminateProcess可以Hook?可以,但Hook了没用,Handle是未知的
因此实质上要Hook的是OpenProcess,只要是我的进程就拒绝打开
好处:不怕你见的到,你就是关不了我
缺点:CMD下的命令行方法Hook不到
改进:能够Hook系统服务就一定可以,可惜难度大,需要编写驱动
LYSoft主页的http://ly.activepower.net/projects/API Hook.rar是API Hook方法的例子,修改就可用
3)NT内核修改大发
修改NT系统内核对象PsLoadedMoleList上的ActiveProcessLink链表就可以在系统上“失踪”了,但实现这个功能需要驱动支持,没驱动的方法只能适合XP/2003,因为Nt5.1以上的ZwSystemDebugControl API才能支持内核访问
好处:你怎么都见不到进程的
缺点:难度过大,用内核工具仍然可以看见的,很多RootKit木马就用这个方法的
改进:几乎是终极大法,没什么别的好方法了。
LYSoft主页的http://ly.activepower.net/projects/NTLowLevel.exe是演示程序,不提供代码,涉及技术机密,不便奉告
关键代码如下
function HideProcess: boolean;
label Err;
var
EProcess : DWord;
hPM, FLink, BLink: Cardinal;
begin
Result := false;
EProcess := GetCurrentEProcess;
if EProcess < 1 then Exit;
if not ReadVirtualMemory(EProcess+$88, @FLink, 4) then Exit;
if not ReadVirtualMemory(EProcess+$8C, @BLink, 4) then Exit;
if not WriteVirtualMemory(FLink+4, @BLink, 4) then Exit;
if not WriteVirtualMemory(BLink, @FLink, 4) then Exit;
Result := true;
end;
不要问为什么了,你需要NTDDK的知识才能明白的:)
4)远程线程大发
没有实体的存在,没进程,没DLL,只有代码
把代码直接注入进程空间VirtualAllocEx,用CreateRemoteThread运行,
好处:没可见的实体,隐蔽性最强
缺点:适合于简单代码,复杂的难以保证其可靠性和稳定性,病毒的最爱
改进:不需要什么了
这个没演示了,呵呵:)
注入某个进程空间,要涉及到API定位等一系列病毒式操作,在对方的身体运行呀
简单的代码可以,复杂的功能就很不适合,一般的程序根本就不适合,所以除非写病毒,否则不建议用这样的方法,因为连调试都变得很难
⑶ 挖矿病毒怎么排查
登录系统查看任务管理器,查看占用内存较大且无法关闭的进程。进程上点击鼠标右键,打开文件位置(先要在文件夹选项中选择显示隐藏文件及操作系文件)。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件,右键编辑打开这个文件查看,可查看到恶意进程与哪个挖矿组织通信。
通过查看系统操作日志可分析出病毒的来源、启动时间等信息,一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。
根除病毒:将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行,此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。
如果是Linux系统请参考:网页链接
⑷ 如何隐藏某个软件的进程
1、下载FU,下载地址: http://clover.by168.com/fu.rar (失效能找的到)
2、关闭杀毒程序后解压缩文件fu.rar。(因为FU是黑客软件,会被杀毒的杀了)
3、解压后可以看见fu下有三个子文件夹,分别是:EXE,fu和Sys
4、进入EXE文件夹,双击运行cmd.exe
5、打开第一个~~~~程序
6、查找程序PID。(分XP和其他系统说明)
XP系统:在刚才运行的cmd.exe黑色输入窗口下输入tasklist,回车。可以看到程序的PID值。
其他系统:打开任务管理器在进程的选项栏下就可以看见程序PID值。开任务管理器的方法是按三键:Ctrl+Alt+Del,注意是三键同时按。还有一种打开任务管理器的方法是右键单击任务栏,然后就有任务管理器这个选项。(由于其他系统无tasklist这个命令,所以输入tasklist会显示tasklist不是内部或外部命令。)
任务管理器-----查看-----选择列------把PID勾选上
7、在cmd.exe的窗口下输入:fu -ph 1180(1180即所查的PID值,你查到什么就是什么啰)
fu和-ph和PID值三者之间都有空格呀!
8、这样程序进程都被屏蔽了。关闭cmd的窗口。可以打开防火墙了
9、可以双开了,再打开一个相同程序没问题了~
说明:fu软件为黑客软件,
杀毒软件可能会认为是木马(因为要隐藏外挂进程,木马一般要隐藏进程的),
请在使用前关闭杀毒软件,然后运行结束后再打开。
我们是经过测试的,如果你信不过我们的提供的fu,
你也可以到官方下载
⑸ 怎么查看系统内隐藏的挖矿程序
嘿嘿,360好用,我现在就用的是360和超级魔法兔子2个
如果说进程
魔法兔子更实用一点
可以在魔法兔子的进程那个选项里
看到所有的进程 系统进程 是绿色的并且注明了是系统进程,其他进程则是黑色的,有显示那个进程的文件在你电脑中的位置,并且右键点那个进程,还会出现在线查该进程的信息,一点开,就有很明确的标注,比如:是否为木马,是否为错误,是否为后台进程,是否占用内存,是否为间谍,等一系列的说明。
⑹ 怎样显示被隐藏的进程
1、找到 C:\boot.ini 这个文件。
如果你找不到。说明你没有显示受保护的操作系统文件和没有显示隐藏文件。我的电脑-工具-文件夹选项-查看-去掉 隐藏受保护的操作系统文件(推荐) 前面的钩。然后选中 显示所有文件和文件夹。-确定
2、找到了这个文件了吧。
3、用记事本打开。
4、看这句:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /execute=optin /fastdetect
把 /execute 改成 /noexecute 保存。
如果保存不成功,请先把此文件设置成普通文件再重试。因为此文件目前是系统隐藏只读文件。设置方法可以在ms-dos(就是开始-运行-cmd)下输入 attrib c:\boot.ini -s -h -r 或者在此文件的属性里把只读属性去掉。
5、重启机器。
6、成功!
⑺ 如何用进程隐藏利器hide隐藏进程
进程的id可以在任务管理器ctrl+alt+del里看到
查看-> 选择列,把pid选起来,就可以看到每个进程
的唯一标识了
⑻ 有什么工具能隐藏某个进程从而不被检测出来
用一些黑客软件就可以!
比如PMH就可以!
注意,因为本身就是黑客软件,所以杀毒软件会报毒,可以放心,不会有事!
用cmd进入当前目录的DOS状态,执行以下命令
pmh -List ----> 显示进程和显示隐藏进程
pmh -Hide PID ----> 隐藏指定PID数值进程
⑼ 防止植入挖矿程序有什么好的办法
看你电脑装的是什么监护软件呀,不要随意点开一些恶意链接还有网页,还有就是要有安全意识呀,其次电脑上应该有监护软件才安全一些,如腾讯电脑管家,建议我们要提高自身网络安全意识,在日常使用电脑时,保持腾讯电脑管家等安全软件时刻运行,对来路不明的链接和文件保持警惕,不让犯罪分子有机可趁。