这里我们用到的是一款名为FU_Rootkit的软件。
FU_Rootkit是开源的,用C语言编写。
主程序包括2个部分:
Fu.exe和Msdirectx.sys。 Msdirectx.sys能直接载入核心内存,Fu.exe则是相应的应用程序。
命令参数
[-pl] xxx 列举所有运行进程
[-ph] #PID 隐藏进程标识符为PID的进程
[-pld] 列举所有载入驱动程序
[-phd] DRIVER_NAME 隐藏指定驱动
[-pas] #PID 提升进程标识符为PID的进程权限至SYSTEM
[-prl] 列出可用的权限名单
[-prs] #PID #privilege_name 提升进程标识符为PID的进程权限至指定权限
[-pss] #PID #account_name 改变进程令牌和SID
FU_Rootkit不仅可以隐藏进程和驱动,改变进程令牌和SID,还可以例举用Hook技术隐藏的进程和驱动。
使用方法:打开任务管理器,查看你想要隐藏进程的PID,比如要隐藏PID为3024的进程,只需:
运行FU,输入fu -ph 3024即可,现在PID为3024的进程就已经从任务管理器中消失了。
实例:
进入命令提示行,使用tasklist命令,如图:
我们要隐藏的就是当前的cmd窗口.cmd.exe进程PID为3384.
进入FU目录,运行命令:fu -ph 3384.此时,cmd.exe进程已经被彻底隐藏,我们使用任务管理器和tasklist都无法找到它.
FU下载地址:
点击下载此文件提示:部分杀毒软件可能将FU_Rootkit判为病毒)
