Мне было просто интересно, может ли вредоносная программа скрыть себя таким образом.
1 ответ
Да, вредоносные программы могут скрывать себя от просмотра самой ОС с помощью ряда механизмов, включая фильтрацию выходных данных вызовов API, которые показывают процессы в диспетчере задач.
Этот класс вредоносных программ обычно называют руткитом и предназначен, прежде всего, для того, чтобы позволить злоумышленнику сохранить доступ к системе в долгосрочной перспективе (так называемая расширенная постоянная угроза или APT), скрывая свои действия и позволяя злоумышленнику восстановить доступ, если ( частично) обнаружил. Они выступают в качестве платформы для дальнейших атак на систему, таких как установка клавиатурных шпионов, шпионских программ, саботажа системного программного обеспечения или чего-либо еще, что поражает воображение злоумышленников.
Руткиты должны работать на очень низком уровне в архитектуре ОС, чтобы делать то, что они делают, поэтому злокачественные драйверы и вредоносные исправленные библиотеки ядра, как правило, участвуют в лучших.