程在内存当中的数据结构,系统自带的检测机制根本无法探测到。直到很久之后,才有人从理论上明确地提出了一种名为“rootkit”的技术,和林鸿所使用的有点类似。
一旦监控线程发现了它所监控的内容,即达到了触发条件,就会自动启动Ghost主线程,从而完成一些功能。
在这个瞬间,由于需要对Ghost进行启动,Ghost会在系统进程空间短暂地出现,然后再消失。
也就是说,唯一可能被发现的时机,就是Ghost启动的那一刻。
除了排他机制,为了不让Ghost过于泛滥,林鸿还可以对Ghost的总数进行控制,从而可以将其控制在一定范围之内。
另外,Ghost还会帮助服务器进行杀毒。
因为林鸿担心如果出现其他病毒或者蠕虫干扰,服务器便出现异常,然后回引起系统管理员的注意,从而不利于资料的搜集。
于是,林鸿便给Ghost添加了点附加功能,算是做做好事,帮对方加强一下防御。
这样一来,就相当于是给服务器撒了杀毒剂一样,基本上任何有着病毒或者蠕虫特征的程序尝试闯入的话,就立刻会被Ghost查杀。
这些天来