|
 | 作者: sicama [sicama]
 论坛用户 |
登录 |
| 看到这篇文章: 作者:tombkeeper(tombkeeper) 来源:tombkeeper@whitecell.org 看了那么多大侠、大仙关于隐藏进程的介绍,深感“做人难,作黑人更难”。不过有一种隐藏进程的方法倒是不用什么编程技巧的(其实也不容易)。注意下面这个键值: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="backdoor.dll" wantjob就是用这个法子。微软知识库Q134655和Q125680里介绍过,大家不妨弄来看看。 写一个backdoor.dll,再加上这个键值,系统启动后就会加载这个模块。因为没有自己的进程,所以也是看不见的。backdoor.dll还可以学wantjob 的损招,不断检查这个键值,被人删了就再重写回来。 //////////////////////////// 查我的注册表这样的: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="apihookdll.dll" 问:这样是否是正常的.那个apihookdll.dll是否是系统文件?? /////////////////////////// 另我写了个f1.dll 然后把apihookdll.dll替换为f1.dll,开机进不了win2k,ghost 恢复再试,"apihookdll.dll"后加空格再加上我的"f1.dll"也不行.我写的f1.dll BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { MessageBox(NULL,"IN Dll","test",NULL); return TRUE; } 问:是不是要f1.dll写成一个"正确的"dll才行,也就是要有出口函数.输出函数.之类的才行??? 新手一个,高手请指正... |
| 地主 发表时间: 08/25 12:01 |
| 回复: sicama [sicama] 论坛用户 |
登录 |
|
顶一下.. |
| B1层 发表时间: 08/26 01:22 |
 | 回复: allyesno [allyesno]  论坛用户 |
登录 |
|
绿盟有人答你 嘎嘎 有好结果 就公布一下 |
| B2层 发表时间: 08/26 02:29 |
| 回复: sicama [sicama] 论坛用户 |
登录 |
|
呵呵,,TK大侠说: tombkeeper 发表于:2003-08-25 12:01 发帖: 1214 注册: 2001-01-16 AppInit_DLLs这个值系统默认是没有的。apihookdll.dll可能是别的程序加上去的。 程序要求,参考Q134655。 查了些资料.和这个有联系的. Q197571 ,Q134655 ,==.. 不过我底子未够啊.:) 虽然有些明白,不过还是编不出来... 继续努力学习. |
| B3层 发表时间: 08/29 08:01 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: AppInit_DLLs=backdoor.dll