Идея довольно проста, т. Е. Старайтесь не следовать стандарту. Например, чтобы внедрить кое-что в Firefox, вредоносное ПО должно знать, что имя процесса - «firefox.exe» или что-то добавить в Internet Explorer, вредоносное ПО должно знать, что этот процесс является «iexplorer.exe». Но если Firefox или интернет-проводник не следуют этому соглашению, это будет сложно. Идея заключается в том, чтобы ввести логику для изменения названия процесса. Для этого реальный «firefox.exe» заменяется нашим файлом «firefox.exe». Этот дублирующий файл - это просто запуск, настоящий исполняемый файл Firefox переименовывается в некоторый «случайный файл string.exe». Когда система запускает «firefox.exe», это откроет исполняемый файл «firefox.exe». Этот исполняемый файл в свою очередь откроет реальный Firefox, который можно использовать как «random string.exe», а также установить фиктивную информацию процесса с помощью API «SetProcessInformation». Используя «SetProcessInformation», мы установим ложное расположение исполняемого файла, чтобы вредоносное ПО не могло найти реальный процесс на основе местоположения.Скрытие имени процесса, чтобы избежать инъекции DLL. Насколько это возможно?
Может ли любой орган предложить, насколько это возможно (если SetProcessInformation может установить ложное местоположение процесса)?