使用 ADS(备用数据流)隐藏可执行文件
我听说 NTFS 备用数据流可用于隐藏正在运行的可执行文件。
例如 支持我在Windows XP上有一个名为hiddenProgram.exe的exe,在c中使用cmd.exe或system(char*)调用,
type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe
start c:\windows\system32\svchost.exe:hiddenProgram.exe
启动svchost并同时启动hiddenProgram。执行程序
但windows任务管理器中不显示hiddenProgam.exe! 不幸的是,svchost 显示为 svchost:hiddenProgram
Qn 我怎样才能确保hiddenProgram.exe完全隐藏在任务管理器中。
i hear that NTFS alternate data streams can be used to hide running executabes.
eg
supporse i have an exe called hiddenProgram.exe on windows xp,using cmd.exe or system(char*) calls in c,
type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe
start c:\windows\system32\svchost.exe:hiddenProgram.exe
starts svchost and at the same time hiddenProgram.exe
but hiddenProgam.exe is not displayed in windows task manager!!
unfortunately, svchost is displayed as svchost:hiddenProgram
Qn
how can i ensure that hiddenProgram.exe is hidden totally in task manager.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
在 NTFS 中,您可以有一个或多个与文件关联的流。总有一个每个人都知道的未命名流,但您也可以拥有称为备用数据流 (ADS) 的命名流。
否,它仅启动流中包含的程序:
svchost:hiddenProgram你不能轻易做到。所有正在运行的进程都显示在任务管理器中。不过请参阅下面@joveha 的评论。
In NTFS you can have one or more streams associated with a file. There is always an unamed stream that everyone knows about, but you can also have named streams which are refered to as Alternate Data Streams (ADS).
No it only starts just the program contained in the stream:
svchost:hiddenProgramYou can't easily. All running processes are shown in the task manager. See @joveha's comment below though.
将您的病毒实现为设备驱动程序。设备驱动程序不显示在任务管理器中。
无可否认,您在获取 Microsoft 签名的 64 位版本病毒时可能会遇到一些问题,而 Win64 通常需要签名的驱动程序。
Implement your virus as a device driver. Device drivers aren't shown in Task Manager.
Admittably, you might have some problems in getting the 64 bits version of your virus signed by Microsoft, and Win64 in general requires signed drivers.