3

我听说 NTFS 备用数据流可用于隐藏正在运行的可执行文件。
例如,支持我在 windows xp 上有一个名为 hiddenProgram.exe 的 exe,在 c 中使用cmd.exe或调用,system(char*)

type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe

start c:\windows\system32\svchost.exe:hiddenProgram.exe

启动svchost,同时启动hiddenProgram.exe
,但是windows任务管理器中没有显示hiddenProgam.exe!! 不幸的是,svchost 显示为 svchost:hiddenProgram

问我如何确保 hiddenProgram.exe 完全隐藏在任务管理器中

4

2 回答 2

2

在 NTFS 中,您可以拥有一个或多个与文件关联的流。每个人都知道总是有一个未命名的流,但您也可以拥有被称为备用数据流 (ADS) 的命名流。

启动 svchost 并同时启动 hiddenProgram.exe

不,它只启动流中包含的程序:svchost:hiddenProgram

如何确保 hiddenProgram.exe 完全隐藏在任务管理器中

你不能轻易。所有正在运行的进程都显示在任务管理器中。请参阅下面的@joveha 评论。

于 2010-03-30T18:32:48.623 回答
2

将您的病毒实现为设备驱动程序。设备驱动程序未显示在任务管理器中。

不可否认,在获得由 Microsoft 签名的 64 位版本的病毒时,您可能会遇到一些问题,而 Win64 通常需要签名的驱动程序。

于 2010-03-31T11:07:54.807 回答