タスクマネージャーからのプロセスの非表示
タスクマネージャーからプロセスを非表示にするためにどのようなテクニックが使用されていますか?私は現在、C++でこれを行う方法を研究しています。このプロセスはフッキングと呼ばれていますか?
http://www.codeproject.com/Articles/3978/Trap-CtrlAltDel-Hide-Application-in-Task-List-on-W
私が自習している本: RootKits:Subverting the Windows Kernel
ルートキットは、EnumProcesses()への正当な呼び出しを、独自の実装のアドレスに置き換えます。その実装はオリジナルを呼び出しますが、リストを返す前に、非表示にするように指示されたプロセスの言及をすべて削除します。
動作と結果は似ていますが、正当に実行できるため、フックは少し異なると考えています。フッキングは通常、公式にサポートされているAPIを介して行われ、OSはそのようなフックをすべて追跡するため、フッキングプロセスが終了したときにそれらを元に戻すことができます。 Microsoftのフッキングメカニズムの説明はこちらにあります。 マルウェアは、OSに通知せずにメモリを直接変更することがよくあります。