|
 | 作者: sicama [sicama]
 论坛用户 |
登录 |
| 看到这篇文章: 作者:tombkeeper(tombkeeper) 来源:tombkeeper@whitecell.org 看了那么多大侠、大仙关于隐藏进程的介绍,深感“做人难,作黑人更难”。不过有一种隐藏进程的方法倒是不用什么编程技巧的(其实也不容易)。注意下面这个键值: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="backdoor.dll" wantjob就是用这个法子。微软知识库Q134655和Q125680里介绍过,大家不妨弄来看看。 写一个backdoor.dll,再加上这个键值,系统启动后就会加载这个模块。因为没有自己的进程,所以也是看不见的。backdoor.dll还可以学wantjob 的损招,不断检查这个键值,被人删了就再重写回来。 //////////////////////////// 查我的注册表这样的: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="apihookdll.dll" 问:这样是否是正常的.那个apihookdll.dll是否是系统文件?? /////////////////////////// 另我写了个f1.dll 然后把apihookdll.dll替换为f1.dll,开机进不了win2k,ghost 恢复再试,"apihookdll.dll"后加空格再加上我的"f1.dll"也不行.我写的f1.dll BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { MessageBox(NULL,"IN Dll","test",NULL); return TRUE; } 问:是不是要f1.dll写成一个"正确的"dll才行,也就是要有出口函数.输出函数.之类的才行??? 新手一个,高手请指正... |
| 地主 发表时间: 08/26 01:28 |
 | 回复: shesh [shesh]  版主 |
登录 |
|
apihookdll.dll肯定不是系统文件,从名字来看好象是个API的钩子. 你写的DLL有问题,必须是标准的钩子DLL才行. |
| B1层 发表时间: 08/26 09:32 |
| 回复: sicama [sicama] 论坛用户 |
登录 |
|
apihookdll.dll肯定不是系统文件,从名字来看好象是个API的钩子. \\\\ 用记事本打开apihookdll.dll,有如下字样: ........Anti_Troj_Horse_InjDll_HWND............ 应该是我装的木马克星或瑞星或绿色警戒的文件吧,如果不是那可能是我中了毒??:)... \\\\ 你写的DLL有问题,必须是标准的钩子DLL才行.. \\\\ 是的,正在学习ing.. 3Q... |
| B2层 发表时间: 08/29 08:06 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 在菜鸟乐园没人回,发到这可否?-----AppInit_DLLs=backdoor.dll