进程隐藏？干吗用？你不知道？我晕！进程隐藏技术多用于木马和病毒中（还用你说？！），用于提高其生存率。其实现方法因WIN系统架构不同而各异，一些常用方法资料很多，我在这里也就不多说啦！

   这里的"伪隐藏"指的是，虽然在"WINDOWS任务管理器"进程列表中可以看到其进程存在，但在硬盘中却找不到或者说不容易找到其相对应的程序文件。

   一：乾坤大挪移

   大家都知道，当一个程序正在运行时，WIN系统是不允许我们把其删除的（所以才会有人寻找程序自删除_blank>技术），但却不知大家是否注意到，在WIN2000中，当一个程序正在运行时，我们虽然不能把它删除，但我们却可以把程序文件在同一分区内移动位置以及重命名，你可以自己试验一下！这也就是"Windows文件保护"所使用的方法！试想，如果我们的程序在运行后，立即把自身移动位置并重命名，而在"WINDOWS任务管理器"进程列表中显示的却还是原来的程序名，那你又该如何来查找到其对应的程序文件呢？当然如果程序在内存中没有进行变形的话，你可以利用内存查看_blank>软件（如WINHEX）并利用查找功能来找到相对应的程序文件，但如果程序在内存中变形

，也可以说解密，使得内存映像和硬盘中的原程序文件不同，那我是暂时没法找出来啦！
   实现_blank>代码如下(MASM)：

;进程隐藏之乾坤大挪移（只能在同分区内移动）

.386
.model flat, stdcall
option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib
include user32.inc
includelib user32.lib
     .data?
selfname db MAX_blank>_PATH dup(?)
     .data
movename db "c:\mm.jpg",0
     .code
main:
invoke GetModuleFileName,NULL,addr selfname,MAX_blank>_PATH  ;得到自身路径
mov al, byte ptr selfname  ;得到所在分区
mov byte ptr movename,al  ;修正movename，使其在同分区内移动
invoke MoveFile,addr selfname,addr movename  ;把自身移动位置并改名
invoke  MessageBox,NULL,offset selfname,offset movename,MB_blank>_OK
invoke ExitProcess, NULL
end main

     本例程在WIN2000下调试通过，XP" target=_blank>XP和WIN2003应该也可以，请有条件的弟兄测试，WIN98和WINME不能用，与硬盘格式无关！

OVER