文章总结: 本文介绍一款基于Go语言的Windows进程隐藏工具,利用DLL注入技术将指定进程从任务管理器中隐藏。工具结合内存映射通信实现实时监控与自动注入,需管理员权限运行。文档包含编译使用方法及技术细节解析,作者声明仅供安全研究与学习使用。 综合评分: 85 文章分类: 安全工具,二进制安全,红队,免杀
进程隐藏 工具 让 Windows 运行的进程“消失”
原创
Hyyrent Hyyrent
0xSecurity
2026年1月22日 11:33 广东 标题已修改
私信 “进程隐藏” 获取工具链接~
Go实现用于Windows系统的进程隐藏工具,通过DLL注入技术将指定进程从任务管理器中隐藏
技术细节
主要组件
- 进程枚举: 使用
CreateToolhelp32Snapshot和Process32First/Next枚举系统进程 - DLL注入: 通过
VirtualAllocEx、WriteProcessMemory和CreateRemoteThread实现远程DLL注入 - 内存映射: 使用
CreateFileMappingA和MapViewOfFile实现进程间通信 - API调用: 直接调用Windows Native API实现底层操作
DLL注入流程
- 打开目标进程(
OpenProcess) - 在目标进程中分配内存(
VirtualAllocEx) - 将DLL路径写入目标进程内存(
WriteProcessMemory) - 获取
LoadLibraryA函数地址(GetProcAddress) - 创建远程线程执行
LoadLibraryA加载DLL(CreateRemoteThread)
注意事项
- 管理员权限: 程序需要管理员权限才能进行进程注入操作
- DLL依赖: 确保
ProcessHider.dll与主程序在同一目录
功能特性
- 进程隐藏: 通过注入DLL到任务管理器中实现进程隐藏
- 实时监控: 持续监控任务管理器进程,发现新实例时自动注入
- 内存映射通信: 使用内存映射在进程间共享要隐藏的进程名
- 跨进程注入: 支持将DLL注入到运行中的任务管理器进程
编译方法
编译主程序
go build -o main.exe main.go
使用方法
- 以管理员身份运行程序:
main.exe -p <进程名>
示例
# 隐藏notepad.exe进程
main.exe -p notepad.exe
# 隐藏cmd.exe进程
main.exe -p cmd.exe
程序输出示例
[+] Current Process ID: 1234
[+] Target process to hide: notepad.exe
[+] Process name 'notepad.exe' shared via memory mapping
[+] Starting process monitor for taskmgr.exe
[+] DLL Path: ProcessHider.dll (from current directory)
[+] Enter "quit" to exit
[+] Found new taskmgr.exe process (PID: 5678)
[+] Successfully injected into taskmgr.exe (PID: 5678)
[+] User activity triggered
文件结构
ProcessHider/
├── main.go # 主程序入口
├── main.exe # 编译后的可执行文件
├── ProcessHider.dll # 注入用的DLL文件
├── go.mod # Go模块文件
└── README.md # 项目说明文档
法律声明
⚠️ 重要提醒: 此工具仅用于学习和研究目的。请勿用于非法活动。作者不对使用此工具产生的任何后果承担责任。
免责声明
此工具仅用于教育和研究目的。使用者应当对自己的行为负责,作者不对任何滥用行为承担责任。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:0xSecurity Hyyrent Hyyrent《进程隐藏 工具 让 Windows 运行的进程“消失”》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论