典型進程隱藏技術
1? 基于系統服務的進程隱藏技術
在 W I N 9X 系列操作系統中, 系統進程列表中不能看到任何系統服務進程, 因此只需要將指定進程注冊為系統服務就能夠使該進程從系統進程列表中隱形

在win9x下用RegisterServiceProcess函數隱藏進程，NT架構下用不了 即win2000? xp等什么的用不了此方法。

2? 基于API HOOK的進程隱藏技術
API HOOK指的是通過特殊的編程手段截獲WINDOWS系統調用的API函數,并將其丟棄或者進行替換。 通過API
HOOK編程方法,截獲系統遍歷進程函數并對其進行替換,可以實現對任意進程的隱藏

?

3? 基于 DLL 的進程隱藏技術:遠程注入Dll技術
DLL文件沒有程序邏輯,不能獨立運行,由進程加載并調用,所以在進程列表中不會出現DLL文件。如果是一個以DLL形式存在的程序,通過某個
已有進程進行加載, 即可實現程序的進程隱藏。在windows系統中, 每個進程都有自己的私有地址空間, 進程不能創建屬于另一個進程的內存指針
。而遠程線程技術正是通過特殊的內核編程手段, 打破進程界限來訪問另一進程的地址空間, 以達到對自身 進行隱藏的目的。
遠程線程注入DLL技術指的是通過在某進程中創建遠程線程的方法進入該進程的內存空間, 然后在其內存空間中加載啟動DLL程序。

?

4? 基于遠程線程注入代碼的進程隱藏技術
這種方法與遠程線程注入 DLL 的原理一樣,都是通過在某進程中創建遠程線程來共享該進程的內存空間。所不同的是,遠程線程注入代碼通過直接
拷貝程序代碼到某進程的內存空間來達到注入的目的。因為程序代碼存在于內存中, 不僅進程列表中無法檢測, 即使遍歷進程加載的內存模塊也無法
找到被隱藏程序的蹤跡。

?

5? Rootkit方式
Intel CPU 有4 個特權級別： Ring 0， Ring 1， Ring 2， Ring 3。Windows 只使用了其中的 Ring? 0 和? Ring? 3 兩個級別。
操作系統分為內核和外殼兩部分：內核運行在Ring0級，通常稱為核心態（或內核態），用于實現最底層的管理功能，在內核態
可以訪問系統數據和硬件，包括處理機調度、內存管理、設備管理、文件管理等；外殼運行在 Ring 3 級，通常稱為用戶態，
是基于內核提供的交互功能而存在的界面，它負責指令傳遞和解釋。通常情況下，用戶態的應用程序沒有權限訪問核心態的地址空間。
Rootkit 是攻擊者用來隱藏自己的蹤跡和保留 root 訪問權限的工具，它能使攻擊者一直保持對目標機器的訪問，以實施對目標計算機的控制[1]。從 Rootkit 運行的環境來看，可將
其分為用戶級 Rootkit 和內核級 Rootkit。
用戶態下，應用程序會調用 Wi n32 子系統動態庫（包括Kernel32.dll， User32.dll， Gdi32.dll等） 提供的Win32 API函數，
它們是? Windows? 提供給應用程序與操作系統的接口，運行在Ring? 3 級。用戶級 Rootkit 通常就是通過攔截 Win32? API，建立系統鉤子，插入自己的代碼，從而控制檢測工具對進程或服務的遍歷調用，實現隱藏功能。
內核級 R o o t k it 是指利用驅動程序技術或其它相關技術進入Windows 操作系統內核，通過對 Windows 操作系統內核相關的數據結構或對象進行篡改，以實現隱藏功能。
由于Rootkit 運行在 Ring? 0 級別，甚至進入內核空間，因而可以對內核指令進行修改，而用戶級檢測卻無法發現內核操作被攔
截。
下面介紹兩種使用 Rootkit 技術來實現進程隱藏的方法。冊表來實現啟動,因而易于被檢測出來。顯然,要增強進程的隱蔽性,關鍵在于增強加載程序文件的隱藏性。

<1>?? SSDT Hook

參考本文最下面的鏈接

<2> DKOM （Direct Kernel Object Manipulation，直接內核對象操作）

使用DKOM方法進行進程隱藏。在Windows操作系統中，系統會為每一個活動進程創建一個進程對象EPROCESS，為進程中的每一個線程創建一個線程對象 ETHREAD。

在 EPROCESS 進程結構中有個雙向鏈表 LIST_ENTRY，LIST_ENTRY結構中有FLINK 和BLINK 兩個成員指針，分別指向當前進程的前驅進程和后繼進程。

如果要隱藏當前進程，只需把當前進程的前驅進程的BLINK 修改為當前進程的BLINK，再把當前進程的后繼進程的FLINK修改為當前進程的FLINK。

好文章 ：進程隱藏與進程保護(SSDT Hook 實現)?

http://www.baidu.com/link?url=ydyu3Qv5alN_GUSE7LSYWJjc-X_amMh75qSN024ldqUGbcQ8YLT1nUlOV07ePFTl

http://www.cnblogs.com/BoyXiao/archive/2011/09/04/2166596.html

http://www.baidu.com/link?url=D3YtcDlkmUvyvVCYbH4hWzmCkHLZt8HQ4L2L9TzapcV99dUgnlOMS2akwXYqq2VllPnvI5Q6XCxZ9HFie-TLUZ0qDogyZJGH5zHd7ROUCru

遠程注入 ?http://hi.baidu.com/fpsixkukaiadmwr/item/19c1b1794a418647ee1e5339

http://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html

貌似 ssdt hook ?在win7下不能用來隱藏進程了 ?貌似是因為找不到偏移，因為win7采用了隨機偏移 ? ?

一個好的支持win7的隱藏方法

http://bbs.pediy.com/showthread.php?p=1085174

總結

以上是生活随笔為你收集整理的进程隐藏的各种方法 以及分析比较以及实现链接的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。