¿Qué técnica se usa para ocultar un proceso del Administrador de tareas? Actualmente estoy investigando formas en que puedo hacer esto en C ++. ¿Este proceso se llama enganche?
El libro del que estoy estudiando por mí mismo desde: RootKits: Subvirtiendo el Kernel de Windows
El rootkit reemplaza la llamada legítima a EnumProcesses () con la dirección de su propia implementación. Su implementación llama al original, pero antes de devolver la lista, elimina cualquier mención de los procesos que se le ha dicho que oculte.
Si bien el comportamiento y el resultado son similares, considero que enganchar es un poco diferente, porque se puede hacer de manera legítima. El enlace generalmente se realiza a través de una API oficialmente soportada, y el sistema operativo rastrea todos esos enlaces para que pueda deshacerlos cuando finaliza el proceso de enlace. Aquí puede ver una descripción del mecanismo de conexión de Microsoft. En su lugar, el malware a menudo modifica directamente la memoria sin notificar al sistema operativo.