cacher des exectables en utilisant ADS (flux de données alternatifs)

Question

j'entends que les flux de données alternatifs NTFS peuvent être utilisés pour cacher les exécutables en cours d'exécution.
par exemple supporse j'ai un exe appelé hiddenProgram.exe sur Windows XP, en utilisant cmd.exe ou system(char*) appels à c,

type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe 

start c:\windows\system32\svchost.exe:hiddenProgram.exe 

commence svchost et en même temps hiddenProgram.exe
mais hiddenProgam.exe n'est pas affiché dans le gestionnaire de tâches Windows malheureusement, svchost est affiché comme svchost: hiddenProgram

Qn Comment puis-je faire en sorte que hiddenProgram.exe est caché totalement dans le gestionnaire de tâches.

Answer 1

En NTFS, vous pouvez avoir un ou plusieurs flux associés à un fichier. Il y a toujours un flux non nommé que tout le monde connait, mais vous pouvez également avoir des flux nommés qui sont référencés comme des flux de données alternatifs (ADS).

commence svchost et en même temps hiddenProgram.exe

Non, il ne commence que tout le programme contenu dans le flux: svchost:hiddenProgram

Comment puis-je faire en sorte que hiddenProgram.exe est totalement caché dans le gestionnaire de tâches

Vous ne pouvez pas facilement. Tous les processus en cours sont affichés dans le gestionnaire de tâches. Voir le commentaire de @ joveha ci-dessous cependant.

Answer 2

Implémentez votre virus en tant que pilote de périphérique. Les pilotes de périphériques ne sont pas affichés dans le Gestionnaire des tâches. Admittablement, vous pourriez avoir quelques problèmes pour obtenir la version 64 bits de votre virus signé par Microsoft, et Win64 en général nécessite des pilotes signés.