付费需求一个程序检测的源码

385830420

该程序隐藏了进程，界面是绘制，IP是二级域名空间，我的需求是无论这个程序如何改名，要检测他是否运行，可付费。

ShiSoul

检查类名

杰西卡技术传媒

看看一什么软件来来来

385830420

ShiSoul 发表于 2025-7-16 11:43
检查类名

试过了，返回0  我也考虑过如果下次更新他更换类名了比如？所以考虑有没有多方面检测的方式。

将来啊

软件发出来看看

LLXXLL

带驱动的吗，如果带驱动看看程序关闭时驱动会不会卸载如果会就直接检查驱动是否被加载判断进程是否启动

尛龍科技

  

子程序名	返回值类型	公开	备 注
检测域名连接

变量名	类 型	静态	数组	备 注
cmd结果	文本型

cmd结果 = 系统_取DOS执行结果 ("netstat -ano | findstr 目标域名.com")
如果真 (cmd结果 ≠ “”)
信息框 (“发现异常连接：” ＋ cmd结果, 48, “网络警报”, )

.版本 2<br /> <br /> .子程序 检测域名连接<br /> .局部变量 cmd结果, 文本型<br /> <br /> cmd结果 = 系统_取DOS执行结果("netstat -ano | findstr 目标域名.com")<br /> .如果真 (cmd结果 ≠ “”)<br />     信息框 (“发现异常连接：” ＋ cmd结果, 48, “网络警报”, )

直接检测目标域名咯
直接检测目标域名

小白也疯狂

你提到的需求是检测一个程序是否在后台运行，即使它的文件名发生变化，并且它的界面是绘制的，IP是二级域名空间的。这个需求通常用于防止恶意软件、监控程序或者其他隐蔽运行的程序。以下是几种方法和工具，可以帮助你检测一个程序是否在运行，无论它的文件名如何改变。  1. 基于行为的检测（行为分析） 你可以监控程序的行为模式，而不是依赖于程序的文件名或路径。例如，监控程序的网络流量、内存活动、CPU 占用、进程的 I/O 操作等行为。  Sysinternals Suite (Windows)：它提供了多个工具，例如 Process Explorer 和 Process Monitor，可以监控进程的行为，检查进程的网络连接、文件操作、内存使用等。通过这些，你可以基于进程的行为特征来识别潜在的隐藏进程。  OSquery (跨平台)：这是一个开源工具，可以通过 SQL 查询操作系统的状态。你可以用它查询进程列表、网络连接等信息，甚至可以写自定义的查询来检测特定的进程行为模式。  2. 基于内存检测 许多隐蔽的程序会直接运行在内存中，而不会将自身的文件写入磁盘。为了检测这种类型的程序，可以使用内存分析工具：  Volatility (跨平台)：一个开源的内存取证框架，用于提取并分析内存中的活动进程。如果程序隐藏在内存中，Volatility 可以帮助你发现这些进程。  Memoryze：由 FireEye 开发，专门用于分析和检测内存中隐藏的恶意软件。  3. 监控网络行为 既然你提到了 IP 和二级域名，说明这个程序可能涉及到网络通信。你可以通过监控网络流量来检测程序的存在。  Wireshark：一个广泛使用的网络分析工具，可以捕获和分析网络流量。通过设置过滤器，可以专注于特定的 IP 地址或二级域名来分析是否有相关通信。  NetFlow/SFlow：通过网络设备监控流量，能检测到程序通过网络通信时是否存在异常行为。  4. 基于进程和文件系统分析 有些工具能够监控和检测系统中的进程、文件及其变化，尤其是对进程的启动、终止以及文件操作进行追踪。  OSSEC：一个开源的主机入侵检测系统，能够监控文件完整性、进程启动等。可以自定义规则来监控某些进程特征。  Chkrootkit：它用于检测可能的 rootkit 攻击，但也可以用来检查是否有进程或行为在系统中隐藏。  5. 基于哈希值的检测 如果你能够获得该程序的特征（例如，某个加密的文件哈希值），可以通过监控文件的哈希值变化来检查进程是否存在，即使该程序改名了。这样就能检测到该程序重新命名后的文件。  AIDE：这是一个开源的文件系统入侵检测工具，它能够监控文件的哈希值变化，检测是否有文件被修改或替换。  6. 自定义脚本 如果你希望实现更灵活的检测，可以编写自定义脚本（如 Python、PowerShell、Bash 等），来监控系统的进程列表、网络活动、文件系统等。以下是一个简单的 PowerShell 示例，可以用来监控进程：  powershell 复制 编辑 Get-Process | Where-Object { $_.Path -like "*target_program*" } 总结 你可以通过以下几种方式进行监控：  行为分析工具：例如 Sysinternals 和 OSquery。  内存分析工具：如 Volatility。  网络流量监控：例如 Wireshark 或 NetFlow。  文件和进程监控：使用 OSSEC 或 AIDE 等工具。  自定义脚本：定期检查进程、文件哈希和网络行为。  这些工具和方法可以帮助你检测程序是否在运行，并且不依赖于文件名或其他容易被修改的特征。如果你需要更具体的配置或脚本，可以告诉我，我可以进一步提供帮助。

小白也疯狂

你提到的需求是检测一个程序是否在后台运行，即使它的文件名发生变化，并且它的界面是绘制的，IP是二级域名空间的。这个需求通常用于防止恶意软件、监控程序或者其他隐蔽运行的程序。以下是几种方法和工具，可以帮助你检测一个程序是否在运行，无论它的文件名如何改变。

1. 基于行为的检测（行为分析）
你可以监控程序的行为模式，而不是依赖于程序的文件名或路径。例如，监控程序的网络流量、内存活动、CPU 占用、进程的 I/O 操作等行为。

Sysinternals Suite (Windows)：它提供了多个工具，例如 Process Explorer 和 Process Monitor，可以监控进程的行为，检查进程的网络连接、文件操作、内存使用等。通过这些，你可以基于进程的行为特征来识别潜在的隐藏进程。

OSquery (跨平台)：这是一个开源工具，可以通过 SQL 查询操作系统的状态。你可以用它查询进程列表、网络连接等信息，甚至可以写自定义的查询来检测特定的进程行为模式。

2. 基于内存检测
许多隐蔽的程序会直接运行在内存中，而不会将自身的文件写入磁盘。为了检测这种类型的程序，可以使用内存分析工具：

Volatility (跨平台)：一个开源的内存取证框架，用于提取并分析内存中的活动进程。如果程序隐藏在内存中，Volatility 可以帮助你发现这些进程。

Memoryze：由 FireEye 开发，专门用于分析和检测内存中隐藏的恶意软件。

3. 监控网络行为
既然你提到了 IP 和二级域名，说明这个程序可能涉及到网络通信。你可以通过监控网络流量来检测程序的存在。

Wireshark：一个广泛使用的网络分析工具，可以捕获和分析网络流量。通过设置过滤器，可以专注于特定的 IP 地址或二级域名来分析是否有相关通信。

NetFlow/SFlow：通过网络设备监控流量，能检测到程序通过网络通信时是否存在异常行为。

4. 基于进程和文件系统分析
有些工具能够监控和检测系统中的进程、文件及其变化，尤其是对进程的启动、终止以及文件操作进行追踪。

OSSEC：一个开源的主机入侵检测系统，能够监控文件完整性、进程启动等。可以自定义规则来监控某些进程特征。

Chkrootkit：它用于检测可能的 rootkit 攻击，但也可以用来检查是否有进程或行为在系统中隐藏。

5. 基于哈希值的检测
如果你能够获得该程序的特征（例如，某个加密的文件哈希值），可以通过监控文件的哈希值变化来检查进程是否存在，即使该程序改名了。这样就能检测到该程序重新命名后的文件。

AIDE：这是一个开源的文件系统入侵检测工具，它能够监控文件的哈希值变化，检测是否有文件被修改或替换。

6. 自定义脚本
如果你希望实现更灵活的检测，可以编写自定义脚本（如 Python、PowerShell、Bash 等），来监控系统的进程列表、网络活动、文件系统等。以下是一个简单的 PowerShell 示例，可以用来监控进程：

powershell
复制
编辑
Get-Process | Where-Object { $_.Path -like "*target_program*" }
总结
你可以通过以下几种方式进行监控：

行为分析工具：例如 Sysinternals 和 OSquery。

内存分析工具：如 Volatility。

网络流量监控：例如 Wireshark 或 NetFlow。

文件和进程监控：使用 OSSEC 或 AIDE 等工具。

自定义脚本：定期检查进程、文件哈希和网络行为。

这些工具和方法可以帮助你检测程序是否在运行，并且不依赖于文件名或其他容易被修改的特征。如果你需要更具体的配置或脚本，可以告诉我，我可以进一步提供帮助。

小白也疯狂

GMER：这是一个专门用于检测和移除 rootkit 的工具，它能够监控内核空间的活动，检查是否有恶意的驱动加载在系统中。它可以检测到在内核空间隐藏的进程、文件、注册表键、网络连接等。

Rootkit Hunter：一个开源工具，能够扫描和检测潜在的 rootkit，并检查内核模块、驱动程序等。它能够检测是否有恶意代码隐藏在内核中。

Kaspersky TDSSKiller：这是卡巴斯基的工具，专门用于检测和移除 TDSS rootkit 类恶意软件，它能够扫描并检测到隐藏在内核中的进程和驱动程序。

Chkrootkit：这是一个 Linux 系统下用于检查 rootkit 的工具，能够扫描系统中隐藏的驱动和进程。

Volatility：这是一个强大的内存取证工具，能够从内存镜像中分析和提取被隐藏的进程，包括通过驱动程序注入的恶意进程。