如何隱藏進(jìn)程不被檢測？基于系統(tǒng)服務(wù)的進(jìn)程隱藏技術(shù)你知道怎么用嗎

　　如何隱藏進(jìn)程不被檢測？如果有人使用的你的電腦，而你又不想被他人知道你在運行什么程序，僅僅把圖標(biāo)隱藏是遠(yuǎn)遠(yuǎn)不夠的，因為在進(jìn)程中依然可以看到你當(dāng)前運行的程序，那么要如何隱藏進(jìn)程呢？進(jìn)程隱藏有哪些方法呢？請看下文介紹。

【資料圖】

　　進(jìn)程隱藏的五種方法：

　　1、基于系統(tǒng)服務(wù)的進(jìn)程隱藏技術(shù)

　　在 W I N 9X 系列操作系統(tǒng)中， 系統(tǒng)進(jìn)程列表中不能看到任何系統(tǒng)服務(wù)進(jìn)程， 因此只需要將指定進(jìn)程注冊為系統(tǒng)服務(wù)就能夠使該進(jìn)程從系統(tǒng)進(jìn)程列表中隱形。

　　在win9x下用RegisterServiceProcess函數(shù)隱藏進(jìn)程，NT架構(gòu)下用不了 即win2000 xp等什么的用不了此方法。

　　2、基于API HOOK的進(jìn)程隱藏技術(shù)

　　API HOOK指的是通過特殊的編程手段截獲WINDOWS系統(tǒng)調(diào)用的API函數(shù)，并將其丟棄或者進(jìn)行替換。 通過API HOOK編程方法，截獲系統(tǒng)遍歷進(jìn)程函數(shù)并對其進(jìn)行替換，可以實現(xiàn)對任意進(jìn)程的隱藏。

　　3、基于DLL 的進(jìn)程隱藏技術(shù)：遠(yuǎn)程注入Dll技術(shù)

　　DLL文件沒有程序邏輯，不能獨立運行，由進(jìn)程加載并調(diào)用，所以在進(jìn)程列表中不會出現(xiàn)DLL文件。如果是一個以DLL形式存在的程序，通過某個已有進(jìn)程進(jìn)行加載， 即可實現(xiàn)程序的進(jìn)程隱藏。在windows系統(tǒng)中， 每個進(jìn)程都有自己的私有地址空間， 進(jìn)程不能創(chuàng)建屬于另一個進(jìn)程的內(nèi)存指針。而遠(yuǎn)程線程技術(shù)正是通過特殊的內(nèi)核編程手段， 打破進(jìn)程界限來訪問另一進(jìn)程的地址空間， 以達(dá)到對自身 進(jìn)行隱藏的目的。

　　遠(yuǎn)程線程注入DLL技術(shù)指的是通過在某進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入該進(jìn)程的內(nèi)存空間， 然后在其內(nèi)存空間中加載啟動DLL程序。

　　4、基于遠(yuǎn)程線程注入代碼的進(jìn)程隱藏技術(shù)

　　這種方法與遠(yuǎn)程線程注入 DLL 的原理一樣，都是通過在某進(jìn)程中創(chuàng)建遠(yuǎn)程線程來共享該進(jìn)程的內(nèi)存空間。所不同的是，遠(yuǎn)程線程注入代碼通過直接拷貝程序代碼到某進(jìn)程的內(nèi)存空間來達(dá)到注入的目的。因為程序代碼存在于內(nèi)存中， 不僅進(jìn)程列表中無法檢測，即使遍歷進(jìn)程加載的內(nèi)存模塊也無法找到被隱藏程序的蹤跡。

　　5、Rootkit方式

　　Intel CPU 有4 個特權(quán)級別： Ring 0， Ring 1， Ring 2， Ring 3。Windows 只使用了其中的 Ring 0 和 Ring 3 兩個級別。

　　操作系統(tǒng)分為內(nèi)核和外殼兩部分：內(nèi)核運行在Ring0級，通常稱為核心態(tài)（或內(nèi)核態(tài)），用于實現(xiàn)最底層的管理功能，在內(nèi)核態(tài)可以訪問系統(tǒng)數(shù)據(jù)和硬件，包括處理機調(diào)度、內(nèi)存管理、設(shè)備管理、文件管理等；外殼運行在 Ring 3 級，通常稱為用戶態(tài)，是基于內(nèi)核提供的交互功能而存在的界面，它負(fù)責(zé)指令傳遞和解釋。通常情況下，用戶態(tài)的應(yīng)用程序沒有權(quán)限訪問核心態(tài)的地址空間。

　　Rootkit 是攻擊者用來隱藏自己的蹤跡和保留 root 訪問權(quán)限的工具，它能使攻擊者一直保持對目標(biāo)機器的訪問，以實施對目標(biāo)計算機的控制。從 Rootkit 運行的環(huán)境來看，可將其分為用戶級 Rootkit 和內(nèi)核級 Rootkit。用戶態(tài)下，應(yīng)用程序會調(diào)用 Wi n32 子系統(tǒng)動態(tài)庫（包括Kernel32.dll， User32.dll， Gdi32.dll等） 提供的Win32 API函數(shù)，它們是 Windows 提供給應(yīng)用程序與操作系統(tǒng)的接口，運行在Ring 3 級。用戶級 Rootkit 通常就是通過攔截 Win32 API，建立系統(tǒng)鉤子，插入自己的代碼，從而控制檢測工具對進(jìn)程或服務(wù)的遍歷調(diào)用，實現(xiàn)隱藏功能。

　　內(nèi)核級 R o o t k it 是指利用驅(qū)動程序技術(shù)或其它相關(guān)技術(shù)進(jìn)入Windows 操作系統(tǒng)內(nèi)核，通過對 Windows 操作系統(tǒng)內(nèi)核相關(guān)的數(shù)據(jù)結(jié)構(gòu)或?qū)ο筮M(jìn)行篡改，以實現(xiàn)隱藏功能。

　　由于Rootkit 運行在 Ring 0 級別，甚至進(jìn)入內(nèi)核空間，因而可以對內(nèi)核指令進(jìn)行修改，而用戶級檢測卻無法發(fā)現(xiàn)內(nèi)核操作被攔截。

　　關(guān)于進(jìn)程隱藏的五種方法就給大家介紹到這里了，對于隱私比較多的伙伴，進(jìn)程隱藏是很有必要的，希望以上方法對大家有所幫助。

推薦DIY文章

藝術(shù)與顏值并存！懸浮歌詞透明藍(lán)牙音箱低至3099元-每日看點

win7系統(tǒng)禁止Popwndexe.exe進(jìn)程運行的方法 講解輸入gpedit.msc命令后會出現(xiàn)什么-當(dāng)前資訊

電腦數(shù)字鍵打不出數(shù)字怎么辦？若不是連接問題則可嘗試Fn+NUMLOCK切換

bios怎么恢復(fù)默認(rèn)設(shè)置 注意BIOS恢復(fù)默認(rèn)需謹(jǐn)慎操作 否則將會開機故障

win10系統(tǒng)設(shè)置護(hù)眼模式的方法 功能強大的專業(yè)電腦護(hù)眼軟件推薦-天天時快訊

xp系統(tǒng)硬盤安裝win7步驟圖解:教你下載win7 32位系統(tǒng)鏡像該存放在哪-速讀