關於一些類病毒隱藏技術的設想 (轉)

關於一些類病毒隱藏技術的設想 (轉)[@more@]關於一些類隱藏技術的設想

執行緒的隱藏/複製
註冊為服務並非最好的方法, 本人認為CreateRemoteThread是較好的方法, 可以將執行緒注入到指定的程式中去.(注:只對NT/2K/XP有效)

另一通用的方法是HOOK, 中有一個特殊的HOOK - WH_GETMESSAGE, 在GetMessage時掛上, 我們知道, 大多數要用GetMessage.因此在DLL中寫入HOOK與程式碼, DLL會被掛到多數程式中去, 除非重啟或關閉程式.

型病毒會感染PE檔案, 這裡提供一個新的思路, 還是用"HOOK", 不過是HOOK, 將CreateProcess, CreateThread HOOK掉, 在呼叫之前加入複製程式碼

另一個小技巧是關於程式的命名, 推薦使用檔名稱/圖示等, 如explorer.exe, kernel32.dll等, 如果原檔案在windows則放到system(32)中, 反之亦然.

在登錄檔中啟動項不寫程式路徑, 而是用 Rundll32 somedll.dll, somefunction

由於是"設想", 所以沒給出程式碼, 希望理解