Quale tecnica viene utilizzata per nascondere un processo da Task Manager? Attualmente sto studiando modi in cui posso farlo in C ++. Questo processo è chiamato hooking?
Il libro che sto studiando da: RootKits: sovvertire il kernel di Windows
Quale tecnica viene utilizzata per nascondere un processo da Task Manager? Attualmente sto studiando modi in cui posso farlo in C ++. Questo processo è chiamato hooking?
Il libro che sto studiando da: RootKits: sovvertire il kernel di Windows
Il rootkit sostituisce la chiamata legittima a EnumProcesses () con l'indirizzo della propria implementazione. La sua implementazione richiama l'originale, ma prima di restituire l'elenco, rimuove qualsiasi menzione dei processi che è stato detto di nascondere.
Mentre il comportamento e il risultato sono simili, ritengo che l'hooking sia leggermente diverso, perché può essere fatto in modo legittimo. L'hooking viene generalmente eseguito tramite un'API ufficialmente supportata e il sistema operativo tiene traccia di tutti questi hook in modo che possa annullarli quando viene terminato il processo di hooking. Una descrizione del meccanismo di aggancio di Microsoft può essere vista qui. Il malware invece spesso modifica direttamente la memoria senza avvisare il sistema operativo.