易语言隐藏进程

2390517751

  

子程序名	返回值类型	公开	备 注
隐藏进程	逻辑型		隐藏自身进程（XP，XP2）

变量名	类 型	静态	数组	备 注
pid	整数型
eprocess	长整数型
hand	整数型
temp	字节集
fw_	长整数型
bw_	长整数型
fw	字节集
bw	字节集

提升进程权限 ()
hand ＝ 用保护型打开进程 (2075311, 真, 取自进程ID ())
eprocess ＝ 取进程EProcess (取自进程ID ())
关闭系统快照 (hand)
如果真 (eprocess ＝ 0)
返回 (假)

temp ＝ 读物理内存 (eprocess ＋ 136, 4)
如果真 (temp ＝ {  })
返回 (假)
fw_ ＝ 取字节集数据 (temp, #长整数型, )
fw ＝ temp
temp ＝ 读物理内存 (eprocess ＋ 140, 4)
如果真 (temp ＝ {  })
返回 (假)
bw_ ＝ 取字节集数据 (temp, #长整数型, )
bw ＝ temp
如果真 (写物理内存 (fw_ ＋ 4, bw) ＝ -1)
返回 (假)

如果真 (写物理内存 (bw_, fw) ＝ -1)
返回 (假)
返回 (真)

子程序名	返回值类型	公开	备 注
用保护型打开进程	整数型
参数名	类 型	参考	可空	数组	备 注
dwDesiredAccess	整数型
bInhert	逻辑型
ProcessId	整数型

变量名	类 型	静态	数组	备 注
st	整数型
cid	CLIENT_ID
oa	OBJECT_ATTRIBUTES
NumOfHandle	整数型
pbi	PROCESS_BASIC_INFORMATION
i	整数型
hProcessToDup	整数型
hProcessCur	整数型
hProcessToRet	整数型
h_info	SYSTEM_HANDLE_TABLE_ENTRY_INFO
retlen	整数型
a	字节集
b	整数型
c	字节集
ret	整数型

oa.Length ＝ 24
如果真 (bInhert)
oa.Attributes ＝ 位或 (oa.Attributes, 2)
cid.UniqueProcess ＝ ProcessId ＋ 1
st ＝ ZwOpenProcess (hProcessToRet, dwDesiredAccess, oa, cid)
如果真 (st ≥ 0)
ret ＝ hProcessToRet
返回 (ret)
retlen ＝ 1
循环判断首 ()
a ＝ 取空白字节集 (retlen)
ret ＝ ZwQuerySystemInformation (16, a, retlen, 0)
如果 (ret ＝ -1073741820)
retlen ＝ retlen × 2
a ＝ 取空白字节集 (retlen)
跳出循环 ()

循环判断尾 (ret ＝ -1073741820)
b ＝ 取字节集指针_ (a, a, 0)
RtlMoveMemory3 (NumOfHandle, b, 4)
b ＝ b ＋ 4
计次循环首 (NumOfHandle, i)
RtlMoveMemory1 (h_info, b, 16)
如果真 (h_info.ObjectTypeIndex ＝ 5)
cid.UniqueProcess ＝ h_info.UniqueProcessId
st ＝ ZwOpenProcess (hProcessToDup, 64, oa, cid)
如果真 (st ≥ 0)
st ＝ ZwDuplicateObject (hProcessToDup, h_info.HandleValue, -1, hProcessCur, 2035711, 0, 4)
如果真 (st ≥ 0)
st ＝ ZwQueryInformationProcess (hProcessCur, 0, pbi, 24, 0)
如果真 (st ≥ 0)
如果真 (pbi.UniqueProcessId ＝ ProcessId)
st ＝ ZwDuplicateObject (hProcessToDup, h_info.HandleValue, -1, hProcessToRet, dwDesiredAccess, 2, 4)
如果真 (st ≥ 0)
ret ＝ hProcessToRet



st ＝ ZwClose (hProcessCur)
st ＝ ZwClose (hProcessToDup)
b ＝ b ＋ 16
计次循环尾 ()
返回 (ret)

子程序名	返回值类型	公开	备 注
提升进程权限	逻辑型		成功返回真，把一个进程的权限提升到调试级权限
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型				欲提升权限的进程ID，若空为自进程，可以协助跨进程内存读写搜索时使用

变量名	类 型	静态	数组	备 注
进程句柄	整数型
令牌句柄	整数型
destLuid	LUID
进程权限	进程权限
返回	逻辑型

如果真 (0 ＝ 进程ID)
进程ID ＝ 取自进程ID ()
进程句柄 ＝ 用保护型打开进程 (2035711, 真, 进程ID)
打开令牌对象 (进程句柄, 983551, 令牌句柄)
取权限令牌 (0, “SeDebugPrivilege”, destLuid)
进程权限.PrivilegeCount ＝ 1
进程权限.Attributes ＝ 2
进程权限.LowPart ＝ destLuid.LowPart
进程权限.HighPart ＝ destLuid.HighPart
返回 ＝ 置进程权限 (令牌句柄, 假, 进程权限, 0, 0, 0)
关闭对象 (进程句柄)
返回 (返回)

子程序名	返回值类型	公开	备 注
写物理内存	整数型		失败返回-1，成功返回0
参数名	类 型	参考	可空	数组	备 注
地址	长整数型
数据	字节集				<=4096

变量名	类 型	静态	数组	备 注
MEMORY_CHUNKS	字节集
ret	整数型
retlen	整数型
len	整数型

len ＝ 取字节集长度 (数据)
MEMORY_CHUNKS ＝ 取字节集左边 (到字节集 (地址), 4) ＋ 到字节集 (取字节集指针_ (数据, 数据, 0)) ＋ 到字节集 (len)
NtSystemDebugControl (9, MEMORY_CHUNKS, 12, 0, 0, retlen)  ' 12为MEMORY_CHUNKS的长度
如果真 (retlen ≤ 0)
ret ＝ -1
返回 (ret)

子程序名	返回值类型	公开	备 注
读物理内存	字节集		失败返回{}，成功返回相应数据
参数名	类 型	参考	可空	数组	备 注
地址	长整数型
长度	整数型				<=4096

变量名	类 型	静态	数组	备 注
MEMORY_CHUNKS	字节集
ret	字节集
retlen	整数型

ret ＝ 取空白字节集 (长度)
MEMORY_CHUNKS ＝ 取字节集左边 (到字节集 (地址), 4) ＋ 到字节集 (取字节集指针_ (ret, ret, 0)) ＋ 到字节集 (长度)
NtSystemDebugControl (8, MEMORY_CHUNKS, 12, 0, 0, retlen)  ' 12为MEMORY_CHUNKS的长度
如果真 (retlen ≤ 0)
ret ＝ {  }
返回 (ret)

子程序名	返回值类型	公开	备 注
取进程EProcess	长整数型		0为失败
参数名	类 型	参考	可空	数组	备 注
pid	整数型

变量名	类 型	静态	数组	备 注
ret
信息块	字节集
retlen
temp	SYSTEM_HANDLE_INFORMATION
信息块指针偏移
number
结果	长整数型

retlen ＝ 1
循环判断首 ()
信息块 ＝ 取空白字节集 (retlen)
ret ＝ ZwQuerySystemInformation (16, 信息块, retlen, 0)
如果 (ret ＝ -1073741820)
retlen ＝ retlen × 2
信息块 ＝ 取空白字节集 (retlen)
跳出循环 ()

循环判断尾 (ret ＝ -1073741820)
信息块指针偏移 ＝ 取字节集指针_ (信息块, 信息块, 0)
复制内存整数 (number, 信息块指针偏移, 4)
信息块指针偏移 ＝ 信息块指针偏移 ＋ 4
计次循环首 (number, )
RtlMoveMemory2 (temp, 信息块指针偏移, 16)
如果真 (pid ＝ temp.ProcessId 且 temp.ObjectTypeNumber ＝ 5)
返回 (十六文本至长整数 (取十六进制文本 (temp.Object)))
信息块指针偏移 ＝ 信息块指针偏移 ＋ 16
计次循环尾 ()
返回 (0)

子程序名	返回值类型	公开	备 注
十六文本至长整数	长整数型
参数名	类 型	参考	可空	数组	备 注
x	文本型				要转换的十六进制文本

变量名	类 型	静态	数组	备 注
ret	长整数型

StrToInt64ExA (“0x” ＋ x, 1, ret)
返回 (ret)

.版本 2<br /> <br /> .子程序 隐藏进程, 逻辑型, 公开, 隐藏自身进程（XP，XP2）<br /> .局部变量 pid, 整数型<br /> .局部变量 eprocess, 长整数型<br /> .局部变量 hand, 整数型<br /> .局部变量 temp, 字节集<br /> .局部变量 fw_, 长整数型<br /> .局部变量 bw_, 长整数型<br /> .局部变量 fw, 字节集<br /> .局部变量 bw, 字节集<br /> <br /> 提升进程权限 ()<br /> hand ＝ 用保护型打开进程 (2075311, 真, 取自进程ID ())<br /> eprocess ＝ 取进程EProcess (取自进程ID ())<br /> 关闭系统快照 (hand)<br /> .如果真 (eprocess ＝ 0)<br />     返回 (假)<br /> .如果真结束<br /> <br /> temp ＝ 读物理内存 (eprocess ＋ 136, 4)<br /> .如果真 (temp ＝ {  })<br />     返回 (假)<br /> .如果真结束<br /> fw_ ＝ 取字节集数据 (temp, #长整数型, )<br /> fw ＝ temp<br /> <br /> <br /> temp ＝ 读物理内存 (eprocess ＋ 140, 4)<br /> .如果真 (temp ＝ {  })<br />     返回 (假)<br /> .如果真结束<br /> bw_ ＝ 取字节集数据 (temp, #长整数型, )<br /> bw ＝ temp<br /> <br /> <br /> .如果真 (写物理内存 (fw_ ＋ 4, bw) ＝ -1)<br />     返回 (假)<br /> .如果真结束<br /> <br /> .如果真 (写物理内存 (bw_, fw) ＝ -1)<br />     返回 (假)<br /> .如果真结束<br /> 返回 (真)<br /> <br /> .子程序 用保护型打开进程, 整数型<br /> .参数 dwDesiredAccess, 整数型<br /> .参数 bInhert, 逻辑型<br /> .参数 ProcessId, 整数型<br /> .局部变量 st, 整数型<br /> .局部变量 cid, CLIENT_ID<br /> .局部变量 oa, OBJECT_ATTRIBUTES<br /> .局部变量 NumOfHandle, 整数型<br /> .局部变量 pbi, PROCESS_BASIC_INFORMATION<br /> .局部变量 i, 整数型<br /> .局部变量 hProcessToDup, 整数型<br /> .局部变量 hProcessCur, 整数型<br /> .局部变量 hProcessToRet, 整数型<br /> .局部变量 h_info, SYSTEM_HANDLE_TABLE_ENTRY_INFO<br /> .局部变量 retlen, 整数型<br /> .局部变量 a, 字节集<br /> .局部变量 b, 整数型<br /> .局部变量 c, 字节集<br /> .局部变量 ret, 整数型<br /> <br /> oa.Length ＝ 24<br /> .如果真 (bInhert)<br />     oa.Attributes ＝ 位或 (oa.Attributes, 2)<br /> .如果真结束<br /> cid.UniqueProcess ＝ ProcessId ＋ 1<br /> st ＝ ZwOpenProcess (hProcessToRet, dwDesiredAccess, oa, cid)<br /> .如果真 (st ≥ 0)<br />     ret ＝ hProcessToRet<br />     返回 (ret)<br /> .如果真结束<br /> retlen ＝ 1<br /> .循环判断首 ()<br />     a ＝ 取空白字节集 (retlen)<br />     ret ＝ ZwQuerySystemInformation (16, a, retlen, 0)<br />     .如果 (ret ＝ -1073741820)<br />         retlen ＝ retlen × 2<br />         a ＝ 取空白字节集 (retlen)<br />     .否则<br />         跳出循环 ()<br />     .如果结束<br /> <br /> .循环判断尾 (ret ＝ -1073741820)<br /> b ＝ 取字节集指针_ (a, a, 0)<br /> RtlMoveMemory3 (NumOfHandle, b, 4)<br /> b ＝ b ＋ 4<br /> .计次循环首 (NumOfHandle, i)<br />     RtlMoveMemory1 (h_info, b, 16)<br />     .如果真 (h_info.ObjectTypeIndex ＝ 5)<br />         cid.UniqueProcess ＝ h_info.UniqueProcessId<br />         st ＝ ZwOpenProcess (hProcessToDup, 64, oa, cid)<br />         .如果真 (st ≥ 0)<br />             st ＝ ZwDuplicateObject (hProcessToDup, h_info.HandleValue, -1, hProcessCur, 2035711, 0, 4)<br />             .如果真 (st ≥ 0)<br />                 st ＝ ZwQueryInformationProcess (hProcessCur, 0, pbi, 24, 0)<br />                 .如果真 (st ≥ 0)<br />                     .如果真 (pbi.UniqueProcessId ＝ ProcessId)<br />                         st ＝ ZwDuplicateObject (hProcessToDup, h_info.HandleValue, -1, hProcessToRet, dwDesiredAccess, 2, 4)<br />                         .如果真 (st ≥ 0)<br />                             ret ＝ hProcessToRet<br />                         .如果真结束<br /> <br />                     .如果真结束<br /> <br />                 .如果真结束<br /> <br />             .如果真结束<br />             st ＝ ZwClose (hProcessCur)<br />         .如果真结束<br />         st ＝ ZwClose (hProcessToDup)<br />     .如果真结束<br />     b ＝ b ＋ 16<br /> .计次循环尾 ()<br /> 返回 (ret)<br /> <br /> .子程序 提升进程权限, 逻辑型, , 成功返回真，把一个进程的权限提升到调试级权限<br /> .参数 进程ID, 整数型, 可空, 欲提升权限的进程ID，若空为自进程，可以协助跨进程内存读写搜索时使用<br /> .局部变量 进程句柄, 整数型<br /> .局部变量 令牌句柄, 整数型<br /> .局部变量 destLuid, LUID<br /> .局部变量 进程权限, 进程权限<br /> .局部变量 返回, 逻辑型<br /> <br /> .如果真 (0 ＝ 进程ID)<br />     进程ID ＝ 取自进程ID ()<br /> .如果真结束<br /> 进程句柄 ＝ 用保护型打开进程 (2035711, 真, 进程ID)<br /> 打开令牌对象 (进程句柄, 983551, 令牌句柄)<br /> 取权限令牌 (0, “SeDebugPrivilege”, destLuid)<br /> 进程权限.PrivilegeCount ＝ 1<br /> 进程权限.Attributes ＝ 2<br /> 进程权限.LowPart ＝ destLuid.LowPart<br /> 进程权限.HighPart ＝ destLuid.HighPart<br /> 返回 ＝ 置进程权限 (令牌句柄, 假, 进程权限, 0, 0, 0)<br /> 关闭对象 (进程句柄)<br /> 返回 (返回)<br /> <br /> .子程序 写物理内存, 整数型, , 失败返回-1，成功返回0<br /> .参数 地址, 长整数型<br /> .参数 数据, 字节集, , <=4096<br /> .局部变量 MEMORY_CHUNKS, 字节集<br /> .局部变量 ret, 整数型<br /> .局部变量 retlen, 整数型<br /> .局部变量 len, 整数型<br /> <br /> len ＝ 取字节集长度 (数据)<br /> MEMORY_CHUNKS ＝ 取字节集左边 (到字节集 (地址), 4) ＋ 到字节集 (取字节集指针_ (数据, 数据, 0)) ＋ 到字节集 (len)<br /> NtSystemDebugControl (9, MEMORY_CHUNKS, 12, 0, 0, retlen)  ' 12为MEMORY_CHUNKS的长度<br /> .如果真 (retlen ≤ 0)<br />     ret ＝ -1<br /> .如果真结束<br /> 返回 (ret)<br /> <br /> <br /> .子程序 读物理内存, 字节集, , 失败返回{}，成功返回相应数据<br /> .参数 地址, 长整数型<br /> .参数 长度, 整数型, , <=4096<br /> .局部变量 MEMORY_CHUNKS, 字节集<br /> .局部变量 ret, 字节集<br /> .局部变量 retlen, 整数型<br /> <br /> ret ＝ 取空白字节集 (长度)<br /> MEMORY_CHUNKS ＝ 取字节集左边 (到字节集 (地址), 4) ＋ 到字节集 (取字节集指针_ (ret, ret, 0)) ＋ 到字节集 (长度)<br /> NtSystemDebugControl (8, MEMORY_CHUNKS, 12, 0, 0, retlen)  ' 12为MEMORY_CHUNKS的长度<br /> .如果真 (retlen ≤ 0)<br />     ret ＝ {  }<br /> .如果真结束<br /> 返回 (ret)<br /> <br /> .子程序 取进程EProcess, 长整数型, , 0为失败<br /> .参数 pid, 整数型<br /> .局部变量 ret<br /> .局部变量 信息块, 字节集<br /> .局部变量 retlen<br /> .局部变量 temp, SYSTEM_HANDLE_INFORMATION<br /> .局部变量 信息块指针偏移<br /> .局部变量 number<br /> .局部变量 结果, 长整数型<br /> <br /> retlen ＝ 1<br /> .循环判断首 ()<br />     信息块 ＝ 取空白字节集 (retlen)<br />     ret ＝ ZwQuerySystemInformation (16, 信息块, retlen, 0)<br />     .如果 (ret ＝ -1073741820)<br />         retlen ＝ retlen × 2<br />         信息块 ＝ 取空白字节集 (retlen)<br />     .否则<br />         跳出循环 ()<br />     .如果结束<br /> <br /> .循环判断尾 (ret ＝ -1073741820)<br /> <br /> 信息块指针偏移 ＝ 取字节集指针_ (信息块, 信息块, 0)<br /> 复制内存整数 (number, 信息块指针偏移, 4)<br /> 信息块指针偏移 ＝ 信息块指针偏移 ＋ 4<br /> .计次循环首 (number, )<br />     RtlMoveMemory2 (temp, 信息块指针偏移, 16)<br />     .如果真 (pid ＝ temp.ProcessId 且 temp.ObjectTypeNumber ＝ 5)<br />         返回 (十六文本至长整数 (取十六进制文本 (temp.Object)))<br />     .如果真结束<br />     信息块指针偏移 ＝ 信息块指针偏移 ＋ 16<br /> .计次循环尾 ()<br /> 返回 (0)<br /> <br /> .子程序 十六文本至长整数, 长整数型<br /> .参数 x, 文本型, , 要转换的十六进制文本<br /> .局部变量 ret, 长整数型<br /> <br /> StrToInt64ExA (“0x” ＋ x, 1, ret)<br /> 返回 (ret)

2045109515

感谢分享

哦啦啦

已测试，win10 64无效

duanyijun

好东西。厉害厉害

gdxchina

散了散了，别的地方复制过来的，不完整的，很多DLL声明，数据类型声明都没有，根据没法跑。

gdxchina

学习一下

q131181

1111111111111111111

lanyuanjun

sl3632704

让她根本

吴磊磊

已测试，win10 64无效