我听说 NTFS 备用数据流可用于隐藏正在运行的可执行文件。
例如
支持我在 Windows XP 上有一个名为 hiddenProgram.exe 的 exe,使用 cmd.exe 或 system(char*) 在 c 中调用,
type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe
start c:\windows\system32\svchost.exe:hiddenProgram.exe
启动 svchost 并同时启动 hiddenProgram.exe
但是 hiddenProgam.exe 没有显示在 Windows 任务管理器中!!
不幸的是,svchost显示为svchost:hiddenProgram
Qn 如何确保 hiddenProgram.exe 完全隐藏在任务管理器中。
最佳答案
在 NTFS 中,您可以将一个或多个流与一个文件相关联。总有一个每个人都知道的未命名流,但您也可以拥有被称为备用数据流 (ADS) 的命名流。
starts svchost and at the same time hiddenProgram.exe
不,它只启动流中包含的程序:svchost:hiddenProgram
How can i ensure that hiddenProgram.exe is hidden totally in task manager
你做不到。所有正在运行的进程都显示在任务管理器中。请参阅下面@joveha 的评论。
关于c++ - 使用 ADS(备用数据流)隐藏可执行文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2547630/