开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 19523|回复: 26
收起左侧

[图文资料] 易语言隐藏进程

[复制链接]
发表于 2017-6-17 03:02:52 | 显示全部楼层 |阅读模式   湖南省湘西土家族苗族自治州
  
子程序名返回值类型公开备 注
隐藏进程逻辑型 隐藏自身进程(XP,XP2)
变量名类 型静态数组备 注
pid整数型 
eprocess长整数型 
hand整数型 
temp字节集 
fw_长整数型 
bw_长整数型 
fw字节集 
bw字节集 
提升进程权限 ()
hand = 用保护型打开进程 (2075311, 真, 取自进程ID ())
eprocess = 取进程EProcess (取自进程ID ())
关闭系统快照 (hand)
如果真 (eprocess = 0)
返回 ()

temp = 读物理内存 (eprocess + 136, 4)
如果真 (temp = {  })
返回 ()
fw_ = 取字节集数据 (temp, #长整数型, )
fw = temp
temp = 读物理内存 (eprocess + 140, 4)
如果真 (temp = {  })
返回 ()
bw_ = 取字节集数据 (temp, #长整数型, )
bw = temp
如果真 (写物理内存 (fw_ + 4, bw) = -1)
返回 ()

如果真 (写物理内存 (bw_, fw) = -1)
返回 ()
返回 ()
子程序名返回值类型公开备 注
用保护型打开进程整数型 
参数名类 型参考可空数组备 注
dwDesiredAccess整数型
bInhert逻辑型
ProcessId整数型
变量名类 型静态数组备 注
st整数型 
cidCLIENT_ID 
oaOBJECT_ATTRIBUTES 
NumOfHandle整数型 
pbiPROCESS_BASIC_INFORMATION 
i整数型 
hProcessToDup整数型 
hProcessCur整数型 
hProcessToRet整数型 
h_infoSYSTEM_HANDLE_TABLE_ENTRY_INFO 
retlen整数型 
a字节集 
b整数型 
c字节集 
ret整数型 
oa.Length = 24
如果真 (bInhert)
oa.Attributes = 位或 (oa.Attributes, 2)
cid.UniqueProcess = ProcessId + 1
st = ZwOpenProcess (hProcessToRet, dwDesiredAccess, oa, cid)
如果真 (st ≥ 0)
ret = hProcessToRet
返回 (ret)
retlen = 1
循环判断首 ()
a = 取空白字节集 (retlen)
ret = ZwQuerySystemInformation (16, a, retlen, 0)
如果 (ret = -1073741820)
retlen = retlen × 2
a = 取空白字节集 (retlen)
跳出循环 ()

循环判断尾 (ret = -1073741820)
b = 取字节集指针_ (a, a, 0)
RtlMoveMemory3 (NumOfHandle, b, 4)
b = b + 4
计次循环首 (NumOfHandle, i)
RtlMoveMemory1 (h_info, b, 16)
如果真 (h_info.ObjectTypeIndex = 5)
cid.UniqueProcess = h_info.UniqueProcessId
st = ZwOpenProcess (hProcessToDup, 64, oa, cid)
如果真 (st ≥ 0)
st = ZwDuplicateObject (hProcessToDup, h_info.HandleValue, -1, hProcessCur, 2035711, 0, 4)
如果真 (st ≥ 0)
st = ZwQueryInformationProcess (hProcessCur, 0, pbi, 24, 0)
如果真 (st ≥ 0)
如果真 (pbi.UniqueProcessId = ProcessId)
st = ZwDuplicateObject (hProcessToDup, h_info.HandleValue, -1, hProcessToRet, dwDesiredAccess, 2, 4)
如果真 (st ≥ 0)
ret = hProcessToRet



st = ZwClose (hProcessCur)
st = ZwClose (hProcessToDup)
b = b + 16
计次循环尾 ()
返回 (ret)
子程序名返回值类型公开备 注
提升进程权限逻辑型 成功返回真,把一个进程的权限提升到调试级权限
参数名类 型参考可空数组备 注
进程ID整数型欲提升权限的进程ID,若空为自进程,可以协助跨进程内存读写搜索时使用
变量名类 型静态数组备 注
进程句柄整数型 
令牌句柄整数型 
destLuidLUID 
进程权限进程权限 
返回逻辑型 
如果真 (0 = 进程ID)
进程ID = 取自进程ID ()
进程句柄 = 用保护型打开进程 (2035711, 真, 进程ID)
打开令牌对象 (进程句柄, 983551, 令牌句柄)
取权限令牌 (0, “SeDebugPrivilege”, destLuid)
进程权限.PrivilegeCount = 1
进程权限.Attributes = 2
进程权限.LowPart = destLuid.LowPart
进程权限.HighPart = destLuid.HighPart
返回 = 置进程权限 (令牌句柄, 假, 进程权限, 0, 0, 0)
关闭对象 (进程句柄)
返回 (返回)
子程序名返回值类型公开备 注
写物理内存整数型 失败返回-1,成功返回0
参数名类 型参考可空数组备 注
地址长整数型
数据字节集<=4096
变量名类 型静态数组备 注
MEMORY_CHUNKS字节集 
ret整数型 
retlen整数型 
len整数型 
len = 取字节集长度 (数据)
MEMORY_CHUNKS = 取字节集左边 (到字节集 (地址), 4)到字节集 (取字节集指针_ (数据, 数据, 0)) + 到字节集 (len)
NtSystemDebugControl (9, MEMORY_CHUNKS, 12, 0, 0, retlen)  ' 12为MEMORY_CHUNKS的长度
如果真 (retlen ≤ 0)
ret = -1
返回 (ret)
子程序名返回值类型公开备 注
读物理内存字节集 失败返回{},成功返回相应数据
参数名类 型参考可空数组备 注
地址长整数型
长度整数型<=4096
变量名类 型静态数组备 注
MEMORY_CHUNKS字节集 
ret字节集 
retlen整数型 
ret = 取空白字节集 (长度)
MEMORY_CHUNKS = 取字节集左边 (到字节集 (地址), 4)到字节集 (取字节集指针_ (ret, ret, 0)) + 到字节集 (长度)
NtSystemDebugControl (8, MEMORY_CHUNKS, 12, 0, 0, retlen)  ' 12为MEMORY_CHUNKS的长度
如果真 (retlen ≤ 0)
ret = {  }
返回 (ret)
子程序名返回值类型公开备 注
取进程EProcess长整数型 0为失败
参数名类 型参考可空数组备 注
pid整数型
变量名类 型静态数组备 注
ret  
信息块字节集 
retlen  
tempSYSTEM_HANDLE_INFORMATION 
信息块指针偏移  
number  
结果长整数型 
retlen = 1
循环判断首 ()
信息块 = 取空白字节集 (retlen)
ret = ZwQuerySystemInformation (16, 信息块, retlen, 0)
如果 (ret = -1073741820)
retlen = retlen × 2
信息块 = 取空白字节集 (retlen)
跳出循环 ()

循环判断尾 (ret = -1073741820)
信息块指针偏移 = 取字节集指针_ (信息块, 信息块, 0)
复制内存整数 (number, 信息块指针偏移, 4)
信息块指针偏移 = 信息块指针偏移 + 4
计次循环首 (number, )
RtlMoveMemory2 (temp, 信息块指针偏移, 16)
如果真 (pid = temp.ProcessId temp.ObjectTypeNumber = 5)
返回 (十六文本至长整数 (取十六进制文本 (temp.Object)))
信息块指针偏移 = 信息块指针偏移 + 16
计次循环尾 ()
返回 (0)
子程序名返回值类型公开备 注
十六文本至长整数长整数型 
参数名类 型参考可空数组备 注
x文本型要转换的十六进制文本
变量名类 型静态数组备 注
ret长整数型 
StrToInt64ExA (“0x” + x, 1, ret)
返回 (ret)

点评

似乎只适用于XP,win7 64位不行   北京市北京市  发表于 2018-2-25 17:58

签到天数: 1 天

发表于 2024-8-28 16:57:43 | 显示全部楼层   湖北省宜昌市
感谢分享
回复 支持 反对

使用道具 举报

结帖率:38% (6/16)
发表于 2024-7-19 11:42:26 | 显示全部楼层   广东省珠海市

已测试,win10 64无效
回复 支持 1 反对 0

使用道具 举报

结帖率:35% (7/20)

签到天数: 7 天

发表于 2024-3-18 09:55:31 | 显示全部楼层   贵州省黔东南苗族侗族自治州
好东西。厉害厉害
回复 支持 反对

使用道具 举报

发表于 2024-1-4 11:39:00 | 显示全部楼层   广东省广州市
散了散了,别的地方复制过来的,不完整的,很多DLL声明,数据类型声明都没有,根据没法跑。
回复 支持 反对

使用道具 举报

发表于 2024-1-4 11:32:40 | 显示全部楼层   广东省广州市
学习一下
回复 支持 反对

使用道具 举报

结帖率:0% (0/1)
发表于 2023-12-26 21:35:18 | 显示全部楼层   河北省衡水市
1111111111111111111
回复 支持 反对

使用道具 举报

发表于 2023-12-6 16:37:04 | 显示全部楼层   广西壮族自治区柳州市
回复 支持 反对

使用道具 举报

结帖率:0% (0/3)

签到天数: 1 天

发表于 2022-1-5 21:10:16 | 显示全部楼层   四川省德阳市
让她根本
回复 支持 反对

使用道具 举报

结帖率:92% (23/25)

签到天数: 19 天

发表于 2020-3-4 02:16:34 | 显示全部楼层   上海市上海市
已测试,win10 64无效
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表