https://github.com/jasonyang170/winprocesshide

win10，win11，windows应用隐藏，进程隐藏，外挂隐藏，躲避检测，免注入，无需dll。适用于游戏黑客，机密保护
https://github.com/jasonyang170/winprocesshide

game game-hack game-hack-menu game-hacker game-tool hide process-hacker process-hide process-manager windows

Last synced: about 1 month ago
JSON representation

win10，win11，windows应用隐藏，进程隐藏，外挂隐藏，躲避检测，免注入，无需dll。适用于游戏黑客，机密保护

• Host: GitHub
• URL: https://github.com/jasonyang170/winprocesshide
• Owner: JasonYANG170
• License: gpl-3.0
• Created: 2024-03-01T06:10:47.000Z (about 1 year ago)
• Default Branch: main
• Last Pushed: 2024-05-09T02:27:16.000Z (about 1 year ago)
• Last Synced: 2025-03-29T08:01:35.752Z (about 2 months ago)
• Topics: game, game-hack, game-hack-menu, game-hacker, game-tool, hide, process-hacker, process-hide, process-manager, windows
• Homepage:
• Size: 35.2 KB
• Stars: 156
• Watchers: 2
• Forks: 21
• Open Issues: 4
• Metadata Files:
  • Readme: README.md
  • License: LICENSE

Awesome Lists containing this project

README

        


    
WinProcessHide 应用进程隐藏

    

    

	

	


    	

  


这是一项基于Windows内核的应用进程隐藏，以至于包括系统软件在内的任何软件都无法检测到该应用，无需注入器，无需dll即可不被检测，适用于游戏黑客、电脑程序、外挂隐藏

  






## 适用于

WINDOWS 7  

WINDOWS 8  

WINDOWS 10  

WINDOWS 11  

## 原理

该隐藏思路是通过开启电脑内核调试功能，使用WinDbg从系统内核修改应用唯一的EPROCESS结构，从EPROCESS修改pid实现系统内核内隐藏应用进程，使得任何进程检测应用均无法检测。

## 使用教程

### 📌下载及开启调试模式

1.在微软应用商店下载WinDbg  

2.以**管理员权限**启动CMD或powershell，输入以下命令  

    - bcdedit -debug on

    - shutdown /r /t 0

此时电脑会开启内核调试模式并重启 

### 🔍查找16进制进程编号

3.以**管理员权限**启动WinDbg，按下**ctrl+k**选择**Local**继续  

4.顶部导航栏**View**选择**Command**，等待符号安装后即可进入内核调试命令行  

5.命令行输入!process 0 0 XXX.exe查找进程（XXX是你要隐藏的应用进程名，你可以在任务管理器查看）  

    - kd> !process 0 0  XXX.exe

    - PROCESS 8241d490  SessionId: none  Cid: 0178    Peb: 7ffdf000  ParentCid: 0004

    - DirBase: 02b40040  ObjectTable: e148a4a0  HandleCount:  19.

    - Image: XXX.exe

6.记下 **- PROCESS 8241d490** ，然后输入  

    - dt _eprocess 8241d490

此时你就可以看到XXX.exe应用的唯一的EPROCESS结构  

    - 0: kd> dt _eprocess

      nt!_EPROCESS

     +0x000 Pcb              : _KPROCESS

     +0x438 ProcessLock      : _EX_PUSH_LOCK

     +0x440 UniqueProcessId  : Ptr64 Void

     +0x448 ActiveProcessLinks : _LIST_ENTRY

     +0x458 RundownProtect   : _EX_RUNDOWN_REF

     ......

     

我们只用看 **+0x440 UniqueProcessId  : Ptr64 Void** 其中 **Void**前面的数字就是XXX.exe的16进制Pid号  

### 🕶️伪装

7.在任务管理器找一个**你想伪装的**应用，**右键**选择**转到详细信息**，记下该应用的Pid号，将该pid号从当前的10进制**转成16进制**，如abcd

   

8.输入 **ed 8241d490+0x440 abcd** 其中abcd是你想伪装的应用16进制Pid号，回车即可

### 🎖️验证

9.重复第6步查看是否修改成功，打开任务管理器检查，此时应用已经被隐藏，在任何检测软件中都是不可见的

## 喜欢这个项目，请为我点个Star ⭐ 

[![Star History Chart](https://api.star-history.com/svg?repos=JasonYANG170/WinProcessHide&type=Date)](https://star-history.com/#star-history/star-history&Date)