Ho sentito che alcuni rootkit cercano di nascondersi distruggendo l'oggetto del processo ( nt!_EPROCESS
?) mantenendo il thread vivo ( nt!_ETHREAD
?). In questo modo non sono visibili in strumenti come Task Manager o Process Explorer, che visualizzano i processi.
So che la priorità totale di un thread è calcolata da due parti:
- la priorità del processo, ad es. definito tramite CreateProcess () (MSDN) , parametro
dwCreationFlags
che accetta una priorità - la priorità del thread, ad es. impostare tramite SetThreadPriority () (MSDN)
Ora, se l'oggetto del processo che contiene le informazioni di priorità è stato distrutto dal rootkit, il kernel di Windows non fallirebbe nel tentativo di calcolare la priorità totale di quel thread nascosto del rootkit?