到最小标准,就算是一个一个比对过去,也根本无法发现。
林鸿所使用的隐藏技术,是他自己独创的,直接修改了进程在内存当中的数据结构,系统自带的检测机制根本无法探测到。直到很久之后,才有人从理论上明确地提出了一种名为“rootkit”的技术,和林鸿所使用的有点类似。
一旦监控线程发现了它所监控的内容,即达到了触发条件,就会自动启动ghost主线程,从而完成一些功能。
在这个瞬间,由于需要对ghost进行启动,ghost会在系统进程空间短暂地出现,然后再消失。
也就是说,唯一可能被发现的时机,就是ghost启动的那一刻。
除了排他机制,为了不让ghost过于泛滥,林鸿还可以对ghost的总数进行控制,从而可以将其控制在一定范围之内。(《》7*
另外,ghost还会帮助服务器进行杀毒。
因为林鸿担心如果出现其他病毒或者蠕虫干扰,服务器便出现异常,然后回引起系统管理员的注意,从而不利于资料的搜集。
于是,林鸿便给ghost添加了点附加功能,算是做做好事,帮对方加强一下防御。
这样一来,就相当