使用ADS隱藏可執行文件（備用數據流）

Question

我聽說可以使用NTFS備用數據流來隱藏正在運行的可執行文件。
如 supporse我已經在Windows XP中稱爲hiddenProgram.exe一個exe，通過在C cmd.exe或system(char*)電話，

type hiddenProgram.exe > c:\windows\system32\svchost.exe:hiddenProgram.exe 

start c:\windows\system32\svchost.exe:hiddenProgram.exe 

開始SVCHOST，並在同一時間hiddenProgram.exe
但hiddenProgam.exe不顯示在Windows任務管理器！我怎樣才能確保hiddenProgram.exe在任務管理器完全隱藏hiddenProgram

QN ： 不幸的是，SVCHOST顯示爲SVCHOST。

Answer 1

在NTFS中，您可以擁有一個或多個與文件關聯的流。每個人都知道總是有一個未知的流，但是你也可以有被稱爲替代數據流（ADS）的命名流。

開始SVCHOST，並在同一時間 hiddenProgram.exe

沒有它只是剛剛開始流中包含的程序：svchost:hiddenProgram

我如何才能確保hiddenProgram.exe完全隱藏在任務管理器中

您不能輕鬆。所有正在運行的進程都顯示在任務管理器中。儘管如此，請參閱@ joveha的評論。

Answer 2

實施您的病毒作爲設備驅動程序。設備驅動程序不顯示在任務管理器中。

可以肯定的是，在獲得由微軟簽署的病毒的64位版本時，您可能會遇到一些問題，而Win64通常需要簽名的驅動程序。