很多朋友都遇到过自己感觉好像被植入了恶意程序,可在进程任务管理器中却找不到可疑进程的情况,这到底是怎么回事呢?其实这是黑客耍的小把戏,让恶意进程“透明”了。他们具体是怎么做的呢?下面我们用远程控制软件Radmin和进程隐藏程序BlueStarHide来演示进程是如何“透明”的。
进程为什么会从任务管理器中消失呢?Windows操作系统中有个进程链表,保存了当前系统运行的所有进程的信息。用黑客工具除去进程链表中的进程,就可以达到隐藏进程的目的,从而使进程在任务管理器中无法正常显示。
第一步 配置Radmin服务端
首先运行《Radmin生成器》(软件下载地址http://www.cpcw.com/bzsoft),在“安装文件名”选项中设置服务端程序的名称,也就是该服务端程序进程的名称。接着设置服务端程序的启动服务,用户可以按照自己的想法设置“安装服务名”、“服务显示名”、“服务描述”等选项。然后在“密码”和“端口”选项中设置用于服务端程序连接的端口和密码,端口号只能填写数字并且最多为5位,密码不要采用特殊字符。
最后点击“生成被控端”按钮,就会生成我们需要的Radmin服务端程序。在生成被控端的同时,生成器也同时生成了一个名为Clear.exe的文件,它是用来清除被控端的。
第二步 上传隐藏进程程序
现在将生成的服务端程序上传到远程系统并运行,接着运行Radmin的客户端程序,并点击工具栏中的“添加新连接”,然后在弹出的窗口设置远程服务端的IP地址和连接端口。wWW.itcomPuTER.CoM.Cn
设置完成后,远程计算机系统将自动添加到控制窗口。点击鼠标右键中的“文件传输”命令,在弹出的窗口中将进程隐藏程序BlueStarHide(软件下载地址http://www.cpcw.com/bzsoft),通过拖曳的方式上传到远程计算机系统中。
第三步 执行进程隐藏操作
由于进程隐藏程序BlueStarHide不能在Windows环境中直接运行,而只能在命令提示符窗口操作。因此在Radmin的客户端中,点击鼠标右键中的“Telnet”命令,然后在弹出的Telnet窗口中用CD命令进入BlueStarHide所在的目录
。
BlueStarHide的使用方法非常的简单,只要执行:BlueStarHide Server.exe命令即可隐藏服务端进程Server.exe(进程名可以变)。然后打开任务管理器,在弹出窗口的进程标签中已经无法看到Server.exe了。
藏得再深也能揪出来
虽然通过系统的任务管理器不能进行查看,但是通过《冰刃》等内核级的安全工具,仍然可以轻松地检测到隐藏进程的存在。并且为了提醒用户的注意程度,《冰刃》还专门通过醒目的红色来对隐藏的进程进行标注(如图4)。当然并不是没有红色的进程就万事大吉,大家最好同时打开任务管理器和《冰刃》,通过对两个进程列表中的信息进行对比,这样可以更为稳妥地发现隐藏的进程信息。
找不到指定dll模块 问:开机后出现对话框报“C:\WINDOWS\system32\hgadru19.dll出错,找不到指定模块”。我下载了奇虎360卫士查杀并清理了,可是并不能解决问题。请问董师傅我该如何处理? www.sq120.com推荐文章
答:奇虎360安全卫士主要是用来清除恶意软件和插件的,你得自己点奇虎360安全卫士工具栏的“修复”按钮,再点“全面诊断”,在“启动” 项中找到可疑的项目,然后选择修复该项,在这里每个项目都有详细的描述,你需自行分析判断是哪个项目引起hgadru19.dll出错。
Windows XP中找不到硬盘 问:我的电脑配置是P4赛扬2.4GHz处理器,256MB DDR400内存,80GB硬盘,COMBO光驱,显卡是七彩虹9550(128MB显存),最近又买了一个80GB的硬盘,在电脑城已经给分区格式化完了,可是硬盘装好后在Windows XP系统中就是找不着。不知什么原因?
答:既然新硬盘在电脑城已经给分区格式化好了,说明新硬盘本身没有问题。首先你应该检查一下连接新硬盘的数据线是否损坏、接口是否插紧。然后打开“设备管理器→IDE ATA/ATAPI 控制器→主要IDE通道”,单击 “高级设置”标签,看“设备类型”选项是不是“自动检测”,如果是“无”,把它改为“自动检测”,重新启动电脑。如果还是不行的话,由于光驱也属于IDE设备,你可以拔掉光驱的数据线,接在新硬盘上,插上电源线,再次启动电脑即可
From:http://www.itcomputer.com.cn/Article/Network/201309/375.html