进程隐藏

摘要： 该文从Windows操作系统的进程的运行机制出发,简要介绍了Windows操作系统的进程的分类及管理机制,对常见的基于Windows操作系统的进程隐藏技术进行了概要的介绍并对各类隐藏技术的优势和不足进行的分析阐述,最后从实用的角度出发,结合几种不同的进程隐藏技术的特点与优势,给出了一种有效的进程隐藏方案,并详细地分析解读了实现这一方案的主要技术方法.

摘要： 网络的飞速发展,带动了各类应用软件的应运而生.由于各类应用软件本身存在诸多漏洞,于是给黑客们提供了可乘之机,造成的危害也难以估算.因此对木马程序技术的研究,显得尤为迫切,同时具有很高的实用价值和理论意义.

摘要： 本文对Windows平台上防护软件自保护机制的实现方式进行了归纳分类,剖析各类自保护机制的技术原理,对比指出各种技术的优势及其脆弱性,并对防护软件自保护机制的设计提出了意见建议。

摘要： 进程(Process)是操作系统进行资源分配和调度的基本单位,是Windows系列操作系统结构的基础.进程隐藏虽然能够为计算机取证提供便利,但是增加了检测系统中运行的恶意代码的难度.在深入研究Windows进程隐藏技术的基础上,针对常用进程隐藏技术的特点,提出几种Windows操作系统下检测隐藏进程的方法.这些方法能够准确、快速地检测操作系统中隐藏的进程.

摘要： 针对现有内部检测方法不能保证操作系统安全的问题，以 QEMU 虚拟机为平台，设计并实现一种通过外部监控技术发现 Android 系统隐藏进程的工具。以 QEMU 模拟内存为基础，获取客户机系统进程双向链表入口地址，遍历该系统中所有进程控制块，发现隐藏的恶意进程，实现操作系统外部安全监控，对系统进程全面掌控。该工具的研究与设计有助于提升操作系统安全性，为 Android 系统中用户的隐私和财产安全保障提供支撑。%To resolve the problem that the existing internal detection methods fail to guarantee the security of the operating sys-tem,a tool was designed and implemented to detect hidden process in the Android system through external monitoring technolo-gy based on the platform of QEMU virtual machine.The tool was based on QEMU simulation memory.Firstly,the address of process doubly linked list in client system was obtained.Secondly,all process control blocks in the Android system iterated.Fi-nally,the hidden malicious processes were detected.The tool realizes the external security monitoring of the operating system and has comprehensive control of the Android system.The research and design of this tool help to enhance operating system se-curity,which provides support for users’privacy and property security in the Android system.

摘要： 可移动存储设备管理系统在运行时会面临攻击者采用任务管理器或第三方工具强行关闭的攻击，可能导致应用程序无法正常运行。为解决这类应用程序安全运行的问题，提出一种融合进程隐藏和进程守护技术的可移动存储设备管理系统安全运行方案。该方案利用改进的远程线程注入技术提高系统隐蔽性，利用双守护进程的两级监控体系提高系统健壮性，从而达到维护程序安全运行的目的。应用结果表明，该方案能够很好地抵抗强行关闭攻击。%The removable storage device management system would be subject to force closing attack such as using task manager or third-party tools during runtime which could cause the system not to run. To cope with these system safe running problems, an integration of process hiding and process maintaining safe running method of removable storage device management system is proposed. Using modified remote thread inject technology to improve system stealthiness , using two monitoring system based on double process maintaining to improve system robustness, and then the system can run safely. Finally, application results show that the mothed can resist force closing attack effectively.

摘要： 针对数字媒体内容版权保护的需求,提出了一种通用型DRM系统的扩散控制技术,它不依赖于媒体文件格式和媒体的内容.对媒体文件进行加密捆绑封包,只有授权用户才能对其解包以及解密,同时进程监控程序防止用户非法扩散媒体文件内容,进程隐藏方法则对监控程序进行保护,防止用户强制将其关闭.扩散控制技术利用保护文件和被保护媒体的结合与管控,防止了版权内容被非法扩散.%In view of the demand of copyright protection of digital media ,a technology of diffusion con-trol for general DRM system is proposed. It does not depend on the format and content of media files. Me-dia files are encrypted and packed ,which can be only opened by authorized users. Meanwhile ,the pro-cess monitoring program stops illegal operations of diffusing media file content ,and process hiding meth-od prevents the monitoring program from being shut down by users. Diffusion control for general DRM sys-tem concerns combining of the protected media files and the protecting files ,and it prevents digital media content from being illegally diffused.

摘要： 通过对大量当前流行的windows木马程序进行逆向,分析木马在伪装技术、程序隐藏方式、进程隐藏方式、通信方式和免杀手段上所使用的各种技术,并结合当前主流的安全软件对木马的检测效果和检测方式,提出对抗木马新技术的方法。

摘要： 针对Windows任务管理器不能显示系统内部隐藏进程和不具有结束多进程守护病毒的能力问题，设计并实现了一个进程管理系统。系统应用基于HOOK技术检测隐藏进程的方法，继承了挂钩系统服务描述表和挂接SwapContext两种检测隐藏进程方法的优点，克服了前者可靠性不强、后者效率不高的缺点。通过截获TerminateProcess函数，转向自定义函数MyTerminateProcessList，实现同时结束多个进程的功能，弥补了任务管理器的不足。实验结果表明，该系统能够有效地检测到隐藏系统内部的进程，同时具有便捷性、高效性、占有系统资源少等特点。%Aiming at Windows task manager can not show the hidden processes and can not terminate the multi-process protected virus,a process mange system was designed and implemented.It combined the advantages of HOOK system services descriptor table and HOOK SwapContext function on detecting hidden process.A modify method was applied based on HOOK technology to detect hidden process.The low reliability of the former and the low efficiency of the latter were overcome.Besides,it termina-ted multiple processes by changing the execution path to obtain HOOK TerminateProcess function and turning to the custom function MyTerminateProcessList.The weakness of task manager was compensated.Experimental results showed it could detect hidden process effectively and had characteristics of convenience,effectivity and less consumption of system resources.

摘要： 随着信息社会的发展,计算机日志文件的安全是信息社会中安全使用的重要部分之一.通过分析国内外日志的研究概况,阐述了日志的重要性,并详细分析了存在的一些日志保护策略及其不足之处,然后提出了一种基于本地数据库的日志保护策略,该策略要求“实时”提取日志记录并通过加密技术保存于本地数据库中,使用进程隐藏技术实现系统对用户的透明性,能很大程度上防止日志被非法删除和篡改,最后总结了该方案的优势和局限.

摘要： Rootkit技术是恶意程序用于隐藏自身及指定的文件、进程和网络链接等信息，并能使攻击者保持对系统最高访问权限的一种技术，隐蔽性是Rootkit的首要特征。Rootkit分为用户模式和内核模式，目前，Rootkit越来越向内核发展。进程的隐藏是Rootkit的一个常见内容，而检测隐藏的进程也是Anti-Rootkit技术的重要方面。本文研究并分析比较了内核Rootkit进程隐藏及相应的检测技术。

摘要： 本文分析了木马进程隐藏技术的发展过程,深入研究了各个时期重要的木马进程隐藏技术,总结了其技术实现思路及特点.

摘要： 学生机房上机登记控制管理系统是基于Delphi可视化程序设计的一个切合“信息化时代教育技术应用与创新”主题的系统。系统通过完全限制学生端计算机，使学生机客户端必须网络远程登录到教师机服务端，在教师机实现监视某登录的学生机屏幕内容，控制学生机远程关机，远程注销登录，并可限制登录权限;服务端记录学生机工作状态，实现无纸化上机登记，具备快速简便的数据查询、统计功能;实现实时的师生问答交流功能。rn 本系统可促使学生在上课期间精力集中在学习内容上，避免学生上机时玩游戏、QQ等与学习无关的活动，对于高校学生机房具有很强的实用性和一定的创新意义。

摘要： 学生机房上机登记控制管理系统是基于Delphi可视化程序设计的一个切合“信息化时代教育技术应用与创新”主题的系统。系统通过完全限制学生端计算机，使学生机客户端必须网络远程登录到教师机服务端，在教师机实现监视某登录的学生机屏幕内容，控制学生机远程关机，远程注销登录，并可限制登录权限;服务端记录学生机工作状态，实现无纸化上机登记，具备快速简便的数据查询、统计功能;实现实时的师生问答交流功能。rn 本系统可促使学生在上课期间精力集中在学习内容上，避免学生上机时玩游戏、QQ等与学习无关的活动，对于高校学生机房具有很强的实用性和一定的创新意义。

摘要： 学生机房上机登记控制管理系统是基于Delphi可视化程序设计的一个切合“信息化时代教育技术应用与创新”主题的系统。系统通过完全限制学生端计算机，使学生机客户端必须网络远程登录到教师机服务端，在教师机实现监视某登录的学生机屏幕内容，控制学生机远程关机，远程注销登录，并可限制登录权限;服务端记录学生机工作状态，实现无纸化上机登记，具备快速简便的数据查询、统计功能;实现实时的师生问答交流功能。rn 本系统可促使学生在上课期间精力集中在学习内容上，避免学生上机时玩游戏、QQ等与学习无关的活动，对于高校学生机房具有很强的实用性和一定的创新意义。

摘要： 学生机房上机登记控制管理系统是基于Delphi可视化程序设计的一个切合“信息化时代教育技术应用与创新”主题的系统。系统通过完全限制学生端计算机，使学生机客户端必须网络远程登录到教师机服务端，在教师机实现监视某登录的学生机屏幕内容，控制学生机远程关机，远程注销登录，并可限制登录权限;服务端记录学生机工作状态，实现无纸化上机登记，具备快速简便的数据查询、统计功能;实现实时的师生问答交流功能。rn 本系统可促使学生在上课期间精力集中在学习内容上，避免学生上机时玩游戏、QQ等与学习无关的活动，对于高校学生机房具有很强的实用性和一定的创新意义。

摘要： 学生机房上机登记控制管理系统是基于Delphi可视化程序设计的一个切合“信息化时代教育技术应用与创新”主题的系统。系统通过完全限制学生端计算机，使学生机客户端必须网络远程登录到教师机服务端，在教师机实现监视某登录的学生机屏幕内容，控制学生机远程关机，远程注销登录，并可限制登录权限;服务端记录学生机工作状态，实现无纸化上机登记，具备快速简便的数据查询、统计功能;实现实时的师生问答交流功能。rn 本系统可促使学生在上课期间精力集中在学习内容上，避免学生上机时玩游戏、QQ等与学习无关的活动，对于高校学生机房具有很强的实用性和一定的创新意义。

摘要： 本发明公开了一种隐藏程序进程的方法及装置。所述一种隐藏程序进程的方法，包括：根据预设的被保护程序的信息，配置预设的注入程序；当监测到进程查看程序启动时，将所述预设的注入程序钩取到所述进程查看程序；执行所述预设的注入程序；在所述预设的注入程序执行后，跳转至所述进程查看程序；运行所述进程查看程序，输出所述进程查看程序的结果。本发明可以隐藏特定的程序进程，使得特定的程序进程不被任务管理器等工具检测出来，进而达到保护特定的任务进程的目的。

摘要： 本发明实施例公开了一种基于隐藏窗口以检测进程实例个数的方法，用于更加隐蔽的检测同一时间存在的进程实例的个数。本发明实施例方法包括：创建文本控件窗口并隐藏文本控件窗口；获取进程的进程唯一标识，并使用自定义的加密KEY对进程的进程唯一标识进行加密，以得到加密后的进程唯一标识；将加密后的进程唯一标识写入文本控件窗口；创建检测线程；当需要检测当前进程实例的个数时，在检测线程中根据特定标识从系统中的所有窗口中确定文本控件窗口；获取文本控件窗口的文本，并根据加密KEY解密文本中的加密后的进程唯一标识，得到解密后的进程唯一标识，解密后的进程唯一标识的个数为当前进程实例的个数。

摘要： 本申请提供一种隐藏进程检测方法、装置、电子设备及可读存储介质，涉及计算机技术领域。该方法通过获取处理器所记录的进程信息以及获取操作系统所记录的进程信息，然后比较处理器所记录的进程信息和操作系统所记录的进程信息的差异，来进行隐藏进程检测，由于获取的是处理器在硬件层面记录的进程信息，所以，通过处理器可以获取到更多更全面的进程信息，通过比较则可以更加全面地、有效地检测出隐藏进程。

摘要： 本发明公开了一种检测Windows操作系统中隐藏的恶意程序进程的方法，其特征在于包括以下步骤：S100：从Windows操作系统应用层检测隐藏进程，包括以下步骤：S101：获取％SystemRoot％System32tdll.dll，并根据解析ntdll.dll的结果获取ntdll.dll的导出函数NtQuerySystemInformation；S102：采用导出函数NtQuerySystemInformation筛选出Nt开头的功能，并进行解析，获取NtQuerySystemInformation的系统服务描述符的编号；S103：根据所获取的NtQuerySystemInformation的系统服务描述符的编号，构建调用功能，并使用SYSENTERSYSTEMCALL指令访问内核层；S104：对比进程列表，查找隐藏的恶意程序进程；S200：判断是否查找到隐藏的恶意程序进程，如果是，结束流程，否则，执行步骤S300；S300：从Windows操作系统内核层检测隐藏进程。

摘要： 本发明涉及内核驱动技术领域，尤其是遍历隐藏进程,具体的遍历进程包括以下步骤：将计算机进程由导出函数KeSetAffinityThread处理获得KiSetAffinityThread的地址；从已获得的KiSetAffinityThread地址往上查找一个字节获得一个CMP指令，这个指令继续往上查找的一个DWORD就是KiDispatcherReadyListHead；进入KiDispatcherReadyListHead后，通过SSDT获取KiDispatcherReadyListHead的地址，并将指令lea装载KiDispatcherReadyListHead的地址，并准备遍历程序；判断KiWaitListEntry链表里可以指向Wait List Entry或者Queue List Entry任一位置的指针的指向；通过Thread Process域得到遍历的进程的EPROCESS，通过EPROCESS可以获得遍历的进程的全部信息，本发明通过遍历线程结构中的链表，能够查到出所有计算机中正在运行的木马病毒，可以提高反病毒工具查找隐藏程序的能力。

摘要： 本发明实施例公开一种隐藏安卓系统进程的方法、装置及存储设备，用以解决现有隐藏进程的方法很难在安卓系统上得到实现的问题。该方法包括：查看正在运行的进程列表，选取目的进程；调用安卓系统顶层代码内部配置文件，加载控制目的进程操作的配置文件；控制目的进程操作的配置文件执行控制目的进程操作的API接口以及getRunningAppProcesses()函数；隐藏目的进程。

摘要： 本发明实施例公开一种检测隐藏进程的方法、装置及存储设备，用以解决在采用Rookit技术隐藏进程之后利用目前Windows提供的系统工具无法查看出是否存在隐藏进程的问题。该方法包括：调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄；利用所述系统中常规使用的系统API遍历所述系统的所有存活进程，以获取进程句柄；比较两次获取的进程句柄的数量；在两次获取的进程句柄的数量不等时，确定所述系统中存在隐藏进程。

摘要： 本发明实施例公开了一种基于隐藏窗口以检测进程实例个数的方法，用于更加隐蔽的检测同一时间存在的进程实例的个数。本发明实施例方法包括：创建文本控件窗口并隐藏文本控件窗口；获取进程的进程唯一标识，并使用自定义的加密KEY对进程的进程唯一标识进行加密，以得到加密后的进程唯一标识；将加密后的进程唯一标识写入文本控件窗口；创建检测线程；当需要检测当前进程实例的个数时，在检测线程中根据特定标识从系统中的所有窗口中确定文本控件窗口；获取文本控件窗口的文本，并根据加密KEY解密文本中的加密后的进程唯一标识，得到解密后的进程唯一标识，解密后的进程唯一标识的个数为当前进程实例的个数。

摘要： 本发明公开了一种进程隐藏方法及计算机可读存储介质，方法包括：定时从进程列表中获取程序路径与预设的程序路径相匹配的进程，并获取所述进程的进程编号；当目标进程查询进程列表时，根据所获取的进程编号过滤进程列表，并将过滤后的进程列表返回给所述目标进程。本发明可简单高效地实现进程隐藏，且灵活性高，稳定性强，通用性强。

摘要： 本申请公开了一种进程隐藏方法、装置、设备及可读存储介质。本申请基于具有最高处理权限的系统内核监测进程管理软件的启动，并将进程隐藏程序注入进程管理软件，因此可绕过进程管理软件基于应用层实现的病毒查杀功能，避免进程管理软件将具有进程隐藏功能的程序视为病毒，故而可以提高进程隐藏程序的注入成功率，使得进程隐藏程序实现：将系统中的需保护进程对进程管理软件设置为不可见，从而对系统中的需保护进程进行有效隐藏。同时，由于进程被隐藏，因此用户无法禁用或删除进程，从而可保障进程的正常运行。相应地，本申请提供的一种进程隐藏装置、设备及可读存储介质，也同样具有上述技术效果。