He escuchado que algunos rootkits intentan ocultarse destruyendo el objeto de proceso ( nt!_EPROCESS
?) pero manteniendo el hilo vivo ( nt!_ETHREAD
?). De esa manera, no se ven en herramientas como el Administrador de tareas o el Explorador de procesos, que muestran los procesos.
Sé que la prioridad total de un hilo se calcula a partir de dos partes:
- la prioridad del proceso, por ejemplo, definido a través de CreateProcess () (MSDN) , parámetro
dwCreationFlags
que toma una Priority - la prioridad del hilo, por ejemplo, configurar a través de SetThreadPriority () (MSDN)
Ahora, si el objeto de proceso que contiene la información de prioridad fue destruido por el rootkit, ¿no fallaría el kernel de Windows al intentar calcular la prioridad total de ese hilo de rootkit oculto?