アイデアは非常に単純です。つまり、標準に従わないようにしてください。たとえば、Firefox に何かを挿入するには、マルウェアはプロセスの名前が「firefox.exe」であることを知る必要があります。また、Internet Explorer に何かを挿入するには、マルウェアはプロセスが「ieexplorer.exe」であることを知る必要があります。しかし、Firefox や Internet Explorer がその規則に従わない場合、それは困難です。アイデアは、プロセスの名前を変更するロジックを配置することです。このために、実際の「firefox.exe」は「firefox.exe」ファイルに置き換えられます。この複製ファイルは単なるスタートアップであり、実際の Firefox 実行可能ファイルは「ランダムな string.exe」に名前が変更されています。システムが「firefox.exe」をトリガーすると、「firefox.exe」実行可能ファイルが開きます。この実行可能ファイルは、実際の Firefox 実行可能ファイルを「random string.exe」として開きます。また、「SetProcessInformation」API を使用してダミーのプロセス情報を設定します。「SetProcessInformation」を使用して、実行可能ファイルの誤った場所を設定し、マルウェアがその場所に基づいて実際のプロセスを見つけられないようにします。
それがどれほど実現可能かを示唆する機関はありますか ( SetProcessInformation が誤ったプロセスの場所を設定できる場合)?