скрытие exectables с помощью ADS (альтернативные потоки данных)

Question

Я слышал, что альтернативные потоки данных NTFS могут использоваться для сокрытия запущенных исполняемых файлов.
например у меня есть exe с именем hiddenProgram.exe на Windows XP, использующий вызовы cmd.exe или system(char*) в c,

type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe

start c:\windows\system32\svchost.exe:hiddenProgram.exe

запускает svchost и одновременно hiddenProgram.exe
но hiddenProgam.exe не отображается в диспетчере задач Windows !! к сожалению, svchost отображается как svchost: hiddenProgram

Qn Как я могу убедиться, что hiddenProgram.exe полностью скрыт в диспетчере задач.

Answer 1

Реализуйте свой вирус как драйвер устройства. Драйверы устройств не отображаются в диспетчере задач.

Конечно, у вас могут возникнуть проблемы с получением 64-битной версии вашего вируса, подписанной Microsoft, и Win64 в целом требует подписанных драйверов.

Answer 2

В NTFS вы можете иметь один или несколько потоков, связанных с файлом. Всегда есть неизвестный поток, о котором все знают, но вы также можете иметь именованные потоки, которые называются альтернативными потоками данных (ADS).

запускает svchost и одновременно hiddenProgram.exe

Нет, он запускает только программу, содержащуюся в потоке: svchost:hiddenProgram

Как я могу убедиться, что hiddenProgram.exe полностью скрыт в диспетчере задач

Вы не можете легко. Все запущенные процессы отображаются в диспетчере задач. См. Комментарий @ joveha ниже.