vb运行库:用VB实现 木马 式隐形运行程序

　　在些系统为了特定目经常要求隐藏起来运行例如DCS(集散控制系统)中后台监控系统、木马控制、源码防拷贝等以减少被发现、截杀和反汇编风险这种功能模块要求在运行期间不仅不会在桌面出现也不允许被操作者从任务管理器列表中发现

　　隐形原理

　　对于个隐形而言最基本要求是:

　　1. 不在桌面出现界面；

　　2. 不在任务栏出现图标；

　　3. 名从任务管理器名单中消失

　　对于上述第点可以将FormVisible属性设为False

　　要将图标从任务栏中屏蔽掉可以把FormShowInTaskBar改为False

　　在Windows环境下可以WIN API中RegisterviceProcess来实现第 3个要求

　　上述功能不论用VC、Delphi、VB还是PB等任何种高级编程语言都是比较容易实现

　　隐形功能多用于木马但木马在许多国家和地区是不合法为便于理解本文用VB结合个防拷贝例子来讲解通过获取软件Software安装路径所在磁盘序列号(磁盘ID)用做对合法用户判断以下目是用于讲解隐形编制和应用对防拷贝内容作了定程度简化

　　隐形举例

　　具体编制操作如下:

　　1. 在VB6.0编程环境中新建个工程Project1

　　2. 在Project1中添加模块Modulel在工程属性中将工程名称改为HiddenMen应用标题也改为HiddenMen(以下都经过实际运行测试可以原样复制使用)

　　在模块Module1中加入如下声明:

　　Public Declare Function GetCurrentProcessId Lib “kernel32” As Long
’获得当前进程ID声明
Public Declare Function RegisterServiceProcess Lib “kernel32” (ByVal ProcessId As Long, ByVal ServiceFlags As Long) As Long
’在系统中注册当前进程ID声明

　　3. 在Project1中新建个窗体Form1设置Form1属性:

　　form1.Visible=False
form1.ShowInTaskBar=False

　　在代码窗口添加如下代码:

　　Private Declare Function GetDriveType Lib “kernel32” Alias “GetDriveTypeA” (ByVal nDrive As String) As Long
’获得当前驱动器类型声明
Private Declare Function GetVolumeInformation Lib “kernel32” Alias “GetVolumeInformationA” (ByVal lpRootPathName As String, ByVal lpVolumeNameBuffer As String, ByVal nVolumeNameSize As Long, lpVolumeSerialNumber As Long, lpMaximumComponentLength As Long, lpFileFlags As Long, ByVal lpFileNameBuffer As String, ByVal nFileNameSize As Long) As Long
’获得当前驱动器信息声明
Private Sub Form_Load
Dim drive_no As Long, drive_flag As Long
Dim drive_chr As String, drive_disk As String
Dim serial_no As Long, kkk As Long
Dim stemp3 As String, dflag As Boolean
Dim strlabel As String, strtype As Stringstrc As Long
RegisterServiceProcess GetCurrentProcessId, 1 ’ 从系统中取消当前进程
strlabel = String(255, Chr(0))
strtype = String(255, Chr(0))
stemp3 = “172498135” ’这是作者C盘序列号(十进制),读者可根据自己情况更改
dflag = False
For drive_no = 0 To 25
　drive_disk = Chr(drive_no + 67)
　drive_chr = drive_disk & “:\”
　drive_flag = GetDriveType(drive_chr)
　If drive_flag = 3 Then
　　 kkk = GetVolumeInformation(drive_chr, strlabel, Len(strlabel), serial_no, 0, 0, strtype, Len(strtype)) ’通过GetVolumeInformation获得磁盘序列号
　Select Case drive_no
　　 Case 0
　　 strc = serial_no
　End Select
　If serial_no = stemp3 Then
　　 dflag = True
　　 Exit For
　End If
End If
Next drive_no
If drive_no = 26 And dflag = False Then ’非法用户
　GoTo err:
End If
MsgBox (“HI合法用户！”)
Exit Sub
err:
　MsgBox (“!你C:盘ID号是” & strc)
End Sub
Private Sub Form_Unload(Cancel As Integer)
RegisterServiceProcess GetCurrentProcessId, 0 ’从系统中取消当前进程
End Sub



　　将上述代码编译后运行在出现类似“!你C盘ID号是172498135”对话框时按下Ctrl+Alt+Del键看看名叫“HiddenMen”是否在任务管理器名单列表里如果把上述稍加改动可以加到自己特定中去该在隐形运行的中不知不觉就完成了预定功能

　　以上在简体中文Windows 98和VB 6.0环境中调试通过

延伸阅读

• 2011-9-22-- 漫谈c语言,C#技术漫谈之公共语言运行库（CLR）
• 2009-1-4-- Apache 运行库:Apache APR可移植运行库介绍(4)
• 2009-9-2-- apacheapr:Apache APR可移植运行库介绍(3)
• 2009-1-4-- Apache 运行库:Apache APR可移植运行库介绍(3)
• 2009-1-4-- Apache 运行库:Apache APR可移植运行库介绍(1)
• 2009-1-4-- Apache 运行库:Apache APR可移植运行库介绍(2)
• 2009-2-12-- 在QTP运行过程中屏蔽鼠标的思路方法
• 2009-9-2-- apacheapr:Apache APR可移植运行库介绍(2)
• 2009-9-2-- apacheapr:Apache APR可移植运行库介绍(1)
• 2009-9-2-- apacheapr:Apache APR可移植运行库介绍(4)