Processo di occultamento dal Task Manager [chiuso]

7

Quale tecnica viene utilizzata per nascondere un processo da Task Manager? Attualmente sto studiando modi in cui posso farlo in C ++. Questo processo è chiamato hooking?

link

Il libro che sto studiando da: RootKits: sovvertire il kernel di Windows

    
posta Quaxton Hale 06.01.2014 - 22:50
fonte

1 risposta

7

Il rootkit sostituisce la chiamata legittima a EnumProcesses () con l'indirizzo della propria implementazione. La sua implementazione richiama l'originale, ma prima di restituire l'elenco, rimuove qualsiasi menzione dei processi che è stato detto di nascondere.

Mentre il comportamento e il risultato sono simili, ritengo che l'hooking sia leggermente diverso, perché può essere fatto in modo legittimo. L'hooking viene generalmente eseguito tramite un'API ufficialmente supportata e il sistema operativo tiene traccia di tutti questi hook in modo che possa annullarli quando viene terminato il processo di hooking. Una descrizione del meccanismo di aggancio di Microsoft può essere vista qui. Il malware invece spesso modifica direttamente la memoria senza avvisare il sistema operativo.

    
risposta data 06.01.2014 - 23:42
fonte

Leggi altre domande sui tag