NTFS 代替データ ストリームを使用して、実行中の実行可能ファイルを非表示にできると聞きました。たとえば、
Windows XP で hiddenProgram.exe という名前の exe があるとします。cmd.exesystem(char*)
type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe
start c:\windows\system32\svchost.exe:hiddenProgram.exe
svchostを起動し、同時にhiddenProgram.exeを起動します
が、hiddenProgam.exeはWindowsタスクマネージャーに表示されません!!
残念ながら、svchost は svchost:hiddenProgram として表示されます。
Qn hiddenProgram.exe がタスク マネージャーで完全に非表示になるようにするにはどうすればよいですか。
ウイルスをデバイス ドライバーとして実装します。デバイス ドライバーがタスク マネージャーに表示されません。
確かに、Microsoft によって署名された 64 ビット バージョンのウイルスを取得する際に問題が発生する可能性があります。一般に、Win64 では署名付きのドライバーが必要です。
NTFS では、1 つまたは複数のストリームをファイルに関連付けることができます。誰もが知っている名前のないストリームが常に存在しますが、代替データ ストリーム (ADS) と呼ばれる名前付きのストリームを持つこともできます。
svchost を起動し、同時に hiddenProgram.exe を起動します
いいえ、ストリームに含まれるプログラムのみを開始します。svchost:hiddenProgram
hiddenProgram.exeがタスクマネージャーで完全に隠されていることを確認するにはどうすればよいですか
簡単にはできません。実行中のすべてのプロセスがタスク マネージャーに表示されます。ただし、以下の@jovehaのコメントを参照してください。