我听说NTFS备用数据流可用于隐藏运行的可执行文件
例如
支持我在Windows XP上有一个名为hiddenProgram.exe的exe,在c中使用cmd.exe或system(char*)个调用,
type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe
start c:\windows\system32\svchost.exe:hiddenProgram.exe
启动svchost,同时启用hiddenProgram.exe
但是在Windows任务管理器中没有显示hiddenProgam.exe !!
不幸的是,svchost显示为svchost:hiddenProgram
QN 我怎样才能确保hiddenProgram.exe完全隐藏在任务管理器中。
答案 0 :(得分:2)
在NTFS中,您可以拥有一个或多个与文件关联的流。每个人都知道总有一个未命名的流,但您也可以将命名流称为备用数据流(ADS)。
同时启动svchost hiddenProgram.exe
不,它只会启动流中包含的程序:svchost:hiddenProgram
如何确保hiddenProgram.exe完全隐藏在任务管理器中
你不能轻易。所有正在运行的进程都显示在任务管理器中。请参阅下面的@ joveha评论。
答案 1 :(得分:2)
将您的病毒实施为设备驱动程序。任务管理器中未显示设备驱动程序。
不可否认,您可能在获取由Microsoft签署的64位版本病毒时遇到一些问题,而Win64通常需要签名驱动程序。