安全警示 僅供娛樂(lè)參考,不承擔(dān)該程序使用的相應(yīng)后果和責(zé)任

　　時(shí)間：2002年11月26日

　　Author:Inetufo
　　Email:Inetufo@thugx.com
　　Homepagehttp://www.thugx.com
　　Date:3-8-2003

　　本文將一步一步教你如何編寫一個(gè)QQ惡作劇程序，轉(zhuǎn)載請(qǐng)注明出處：

　　程序原理:獲取系統(tǒng)中的所有進(jìn)程,并保存在一個(gè)數(shù)組中，然后在數(shù)組中查找含有QQ,oicq,qq,OICQ字樣的進(jìn)程，如果找到就立即殺掉該進(jìn)程.這樣你一運(yùn)行QQ，QQ進(jìn)程就會(huì)被立即殺掉，也就是說(shuō)如果該惡作劇程序一直運(yùn)行你就不能上QQ了。呵呵，這招是不是有點(diǎn)毒啊?好了，現(xiàn)在一步一步的來(lái)講程序的編寫過(guò)程。

　　首先我們要解決的問(wèn)題是如何實(shí)現(xiàn)惡作劇程序的自我隱藏，關(guān)于進(jìn)程隱藏的文章很多，我就只簡(jiǎn)單的介紹一下了。在Win9X系統(tǒng)下可以通過(guò)調(diào)用RegisterServiceProcess API這個(gè)API函數(shù)將進(jìn)程注冊(cè)為一個(gè)服務(wù)模式的進(jìn)程，這樣在Win9X系統(tǒng)下用Ctrl+Alt+Del調(diào)出的任務(wù)管理器中將不會(huì)出現(xiàn)這個(gè)進(jìn)程了。RegisterServiceProcess API函數(shù)存放于系統(tǒng)內(nèi)核Kernel32.dll中.具體聲明如下：

　　DWORD RegisterServiceProcess(
　　DWORD dwProcessId, //服務(wù)進(jìn)程的進(jìn)程標(biāo)志，如果為NULL表示當(dāng)前進(jìn)程
　　DWORD dwType //如果參數(shù)為RSP_SIMPLE_SERVICE 表示注冊(cè)當(dāng)前進(jìn)程
　　//如果參數(shù)為RSP_UNREGISTER_SERVICE 表示取消當(dāng)前進(jìn)程的注冊(cè)
　　);

　　函數(shù)調(diào)用成功返回1,否則返回0

　　通過(guò)對(duì)RegisterServiceProcess 這個(gè)API函數(shù)的調(diào)用我們就能實(shí)現(xiàn)在Win9X系統(tǒng)下的進(jìn)程隱藏了。但是要在WinNT系統(tǒng)下真正的實(shí)現(xiàn)進(jìn)程隱藏就沒(méi)有在Win9X系統(tǒng)下那么簡(jiǎn)單了。只要進(jìn)程以進(jìn)程內(nèi)核的形式運(yùn)行，進(jìn)程就將出現(xiàn)在任務(wù)管理器中.要實(shí)現(xiàn)WinNT下進(jìn)程的真正隱藏,只能以非進(jìn)程的方式執(zhí)行目標(biāo)代碼，也就是說(shuō)把目標(biāo)代碼以線程的方式遠(yuǎn)程注冊(cè)到宿主進(jìn)程中.關(guān)于這種方法的實(shí)現(xiàn)已經(jīng)有文章介紹,在這里就不多說(shuō)了。在這里，我并沒(méi)有采用這種隱藏進(jìn)程的方法而是將進(jìn)程注冊(cè)為系統(tǒng)的一個(gè)名為Service的服務(wù)進(jìn)程，雖然這樣并沒(méi)有真正的隱藏進(jìn)程，但是在一般情況下還是不容易發(fā)現(xiàn)的。在Win2000下用任務(wù)管理器查看進(jìn)程時(shí)是不能結(jié)束該進(jìn)程的,必須通過(guò)控制面板中的服務(wù)管理控制臺(tái)來(lái)停止服務(wù)，也可以在命令行下用net stop service來(lái)停止服務(wù)在XP下可以通過(guò)任務(wù)管理器結(jié)束該進(jìn)程。這里簡(jiǎn)單介紹一下WinNT中的服務(wù)程序：