很多朋友都遇到過自己感覺好像被植入了惡意程序,可在進程任務管理器中卻找不到可疑進程的情況,這到底是怎麼回事呢?其實這是黑客耍的小把戲,讓惡意進程“透明”了。他們具體是怎麼做的呢?下面我們用遠程控制軟件Radmin和進程隱藏程序BlueStarHide來演示進程是如何“透明”的。
進程為什麼會從任務管理器中消失呢?Windows操作系統中有個進程鏈表,保存了當前系統運行的所有進程的信息。用黑客工具除去進程鏈表中的進程,就可以達到隱藏進程的目的,從而使進程在任務管理器中無法正常顯示。
第一步 配置Radmin服務端
首先運行《Radmin生成器》(軟件下載地址http://www.cpcw.com/bzsoft),在“安裝文件名”選項中設置服務端程序的名稱,也就是該服務端程序進程的名稱。接著設置服務端程序的啟動服務,用戶可以按照自己的想法設置“安裝服務名”、“服務顯示名”、“服務描述”等選項。然後在“密碼”和“端口”選項中設置用於服務端程序連接的端口和密碼,端口號只能填寫數字並且最多為5位,密碼不要采用特殊字符。
最後點擊“生成被控端”按鈕,就會生成我們需要的Radmin服務端程序。在生成被控端的同時,生成器也同時生成了一個名為Clear.exe的文件,它是用來清除被控端的。
第二步 上傳隱藏進程程序
現在將生成的服務端程序上傳到遠程系統並運行,接著運行Radmin的客戶端程序,並點擊工具欄中的“添加新連接”,然後在彈出的窗口設置遠程服務端的IP地址和連接端口。Tw.wiNGWit.Com
設置完成後,遠程計算機系統將自動添加到控制窗口。點擊鼠標右鍵中的“文件傳輸”命令,在彈出的窗口中將進程隱藏程序BlueStarHide(軟件下載地址http://www.cpcw.com/bzsoft),通過拖曳的方式上傳到遠程計算機系統中。
第三步 執行進程隱藏操作
由於進程隱藏程序BlueStarHide不能在Windows環境中直接運行,而只能在命令提示符窗口操作。因此在Radmin的客戶端中,點擊鼠標右鍵中的“Telnet”命令,然後在彈出的Telnet窗口中用CD命令進入BlueStarHide所在的目錄
。
BlueStarHide的使用方法非常的簡單,只要執行:BlueStarHide Server.exe命令即可隱藏服務端進程Server.exe(進程名可以變)。然後打開任務管理器,在彈出窗口的進程標簽中已經無法看到Server.exe了。
藏得再深也能揪出來
雖然通過系統的任務管理器不能進行查看,但是通過《冰刃》等內核級的安全工具,仍然可以輕松地檢測到隱藏進程的存在。並且為了提醒用戶的注意程度,《冰刃》還專門通過醒目的紅色來對隱藏的進程進行標注(如圖4)。當然並不是沒有紅色的進程就萬事大吉,大家最好同時打開任務管理器和《冰刃》,通過對兩個進程列表中的信息進行對比,這樣可以更為穩妥地發現隱藏的進程信息。
From:http://tw.wingwit.com/Article/Network/201309/375.html