如影随形

影子是一个会撒谎的精灵,它在虚空中流浪和等待被发现之间;在存在与不存在之间....

您现在的位置是:主页 > 皇冠手机版 >

何以凹隐蔽经过不被检测?经过凹隐蔽的五种方

发布时间:2018-12-06 07:05编辑:[db:作者]浏览(193)

      何以凹隐蔽经过不被检测?假设拥有人运用的你的电脑,而你又不想被人家知道你在运转什么以次,偏偏把图标注凹隐蔽是远远不够的,鉴于在经过中依然却以看到你以后运转的以次,这么要何以凹隐蔽经过呢?经过凹隐蔽拥有哪些方法呢?请看下文伸见。

      何以凹隐蔽经过不被检测?经过凹隐蔽的五种方法伸见

      经过凹隐蔽的五种方法:

      1、基于体系效力动的经过凹隐蔽技术

      在 W I N 9X 系列操干体系中, 列表中不能看就任何体系效力动经过, 故此条需寻求将指定经过报户口为体系效力动就却以使该经过从列表中凹隐形。

      在win9x下用RegisterServiceProcess函数凹隐蔽经过,NT架构下用不了 即win2000 xp等什么的用不了此方法。

      2、基于API HOOK的经过凹隐蔽技术

      API HOOK指的是经度过特殊的编程顺手眼截获WINDOWS体系调用的API函数,并将其放丢丢容许终止提交流动。 经度过API HOOK编程方法,截获体系遍历经过函数并对其终止提交流动,却以完成对恣意经过的凹隐蔽。

      3、基于DLL 的经过凹隐蔽技术:长途流入Dll技术

      DLL文件没拥有拥有以次逻辑,不能孤立运转,由经过加以载并调用,因此在经过列表中不会出产即兴DLL文件。假设是壹个以DLL方法存放在的以次,经度过某个已拥有经过终止加以载, 即却完成以次的经过凹隐蔽。在windows体系中, 每个经过邑拥有己己己的私拥有地址当空, 经过不能创立属于另壹个经过的内存放指针。而长途线程技术正是经度过特殊的内核编程顺手眼, 打破开经过疆界到来拜候另壹经过的地址当空, 以到臻对本身 终止凹隐蔽的目的。

      长途线程流入DLL技术指的是经度过在某经过中创立长途线程的方法进入该经过的内存放当空, 然后在其内存放当空间加以载展触动DLL以次。

      4、基于长途线程流入代码的经过凹隐蔽技术

      此雕刻种方法与长途线程流入 DLL 的规律壹样,邑是经度过在某经过中创立长途线程到来共享该经过的内存放当空。所不一的是,长途线程流入代码经度过直接拷贝以次代码到某经过的内存放当空到来到臻流入的目的。鉴于以次代码存放在于内存放中, 不单经过列表中无法检测,即苦遍历经过加以载的内存放模块也无法找到被凹隐蔽以次的踪迹。

      5、Rootkit方法

      Intel CPU 拥有4 个特权级佩: Ring 0, Ring 1, Ring 2, Ring 3。Windows 条运用了就中的 Ring 0 和 Ring 3 两个级佩。

      操干体系分为内核和外面壳两片断:内核运转在Ring0级,畅通日称为中心态(或内核态),用于完成最底儿子层的办干用,在内核态却以拜候体系数据和坚硬件,带拥有处理机调理、内存放办、设备办、文件办等;外面壳运转在 Ring 3 级,畅通日称为用户态,是基于内核供的提交互干用而存放在的界面,它担负指令转提交和释。畅通日情景下,用户态的运用以次没拥有拥有权限拜候中心态的地址当空。