隐藏及显示所有进程的模块

系统结构:提升进程权限,GetCurrentProcess,打开令牌,恢复权限,获取令牌特权,枚举所有进程,隐藏进程,ID取进程,进程取ID,创建进程快照,第一个进程指针,下一个进程指针,关闭进程快照,打开进程,GetProcessMemoryInfo,GetModuleBaseNameA,获取模块文件名,HideProcess,

======程序集1

           |  |

           |  |------ _启动子程序

           |  |

           |  |------ _临时子程序

           |  |

           |  |------ 提升进程权限

           |  |

           |  |

======调用的Dll

           |  |

           |  |---[dll]------   GetCurrentProcess

           |  |

           |  |---[dll]------   打开令牌

           |  |

           |  |---[dll]------   恢复权限

           |  |

           |  |---[dll]------   获取令牌特权

  ======窗口程序集1

           |  |

           |  |------ __启动窗口_创建完毕

           |  |

           |  |------ _显示所有_被单击

           |  |

           |  |------ _显示隐藏_被单击

           |  |

           |  |------ _隐藏进程_被单击

           |  |

           |  |------ _刷新进程_被单击

  ======程序集1

           |  |

           |  |------ _启动子程序

           |  |

           |  |------ _临时子程序

           |  |

           |  |------ 枚举所有进程

           |  |

           |  |------ 隐藏进程

           |  |

           |  |------ ID取进程

           |  |

           |  |------ 进程取ID

           |  |

           |  |------ _提升进程权限

           |  |

           |  |

======调用的Dll

           |  |

           |  |---[dll]------   创建进程快照

           |  |

           |  |---[dll]------   第一个进程指针

           |  |

           |  |---[dll]------   下一个进程指针

           |  |

           |  |---[dll]------   关闭进程快照

           |  |

           |  |---[dll]------   打开进程

           |  |

           |  |---[dll]------   GetProcessMemoryInfo

           |  |

           |  |---[dll]------   GetModuleBaseNameA

           |  |

           |  |---[dll]------   获取模块文件名

           |  |

           |  |---[dll]------   HideProcess

  

调用的DLL命令:

.DLL命令 GetCurrentProcess, 整数型, "kernel32.dll", "GetCurrentProcess"

.DLL命令 打开令牌, 整数型, "advapi32.dll", "OpenProcessToken"

    .参数 ProcessHandle, 整数型

    .参数 DesiredAccess, 整数型

    .参数 TokenHandle, 整数型, 传址

.DLL命令 恢复权限, 逻辑型, "advapi32.dll", "LookupPrivilegeValueA"

    .参数 lpSystemName, 文本型

    .参数 lpName, 文本型

    .参数 lpLuid, LuID, 传址

.DLL命令 获取令牌特权, 逻辑型, "advapi32.dll", "AdjustTokenPrivileges"

    .参数 TokenHandle, 整数型

    .参数 DisableAllPrivileges, 整数型

    .参数 NewState, TOKEN_PRIVILEGES, 传址

    .参数 BufferLength, 整数型

    .参数 PreviousState, TOKEN_PRIVILEGES, 传址

    .参数 ReturnLength, 整数型, 传址

调用的DLL命令:

.DLL命令 创建进程快照, 整数型, , "CreateToolhelp32Snapshot"

    .参数 标识, 整数型

    .参数 进程标识, 整数型, , 指定进程标识. 此参数用于指出当前进程，可为零. 当TH32CS_SNAPHEAPLIST或TH32CS_SNAPMODULE的值被指定时使用此参数. 否则，给予忽略。

.DLL命令 第一个进程指针, 整数型, "kernel32.dll", "Process32First", , 取进程快照第一个进程信息返回内存指针

    .参数 快照句柄, 整数型

    .参数 进程信息, 进程信息32

.DLL命令 下一个进程指针, 整数型, "kernel32.dll", "Process32Next"

    .参数 快照句柄, 整数型

    .参数 进程信息, 进程信息32

.DLL命令 关闭进程快照, 整数型, "kernel32.dll", "CloseHandle"

    .参数 对象句柄, 整数型

.DLL命令 打开进程, 整数型, "kernel32.dll", "OpenProcess"

    .参数 访问级别, 整数型, , 2035711完全访问

    .参数 子进程继承, 整数型, , 0为子进程继承

    .参数 进程ID, 整数型, , 要打开的进程标识

.DLL命令 GetProcessMemoryInfo, 整数型, "Psapi.dll", "GetProcessMemoryInfo"

    .参数 Process, 整数型

    .参数 ppsmemCounters, PROCESS_MEMORY_COUNTERS, 传址

    .参数 cb, 整数型

.DLL命令 GetModuleBaseNameA, 整数型, "Psapi.dll", "GetModuleBaseNameA"

    .参数 hProcess, 整数型

    .参数 hMod, 整数型

    .参数 szProcessName, 文本型, 传址

    .参数 nSize, 整数型

.DLL命令 获取模块文件名, 整数型, "psapi.dll", "GetModuleFileNameExA"

    .参数 进程句柄, 整数型

    .参数 模块句柄, 整数型

    .参数 文件名称, 文本型

    .参数 缓冲区长度, 整数型

.DLL命令 HideProcess, 逻辑型, "hide.dll", "HideProcess"

    .参数 ip, 整数型, , 进程ＩＤ

    .参数 i, 整数型, , １＝隐藏