找不到恶意进程的原因

　　很多朋友都遇到过自己感觉好像被植入了恶意程序，可在进程任务管理器中却找不到可疑进程的情况，这到底是怎么回事呢？其实这是黑客耍的小把戏，让恶意进程“透明”了。他们具体是怎么做的呢？下面我们用远程控制软件Radmin和进程隐藏程序BlueStarHide来演示进程是如何“透明”的。
　　进程为什么会从任务管理器中消失呢？Windos操作系统中有个进程链表，保存了当前系统运行的所有进程的信息。用黑客工具除去进程链表中的进程，就可以达到隐藏进程的目的，从而使进程在任务管理器中无法正常显示。
第一步 配置Radmin服务端
　　运行《Radmin生成器》（软件下载地址），在“安装文件名”选项中设置服务端程序的名称，也就是该服务端程序进程的名称。接着设置服务端程序的启动服务，用户可以按照自己的想法设置“安装服务名”、“服务显示名”、“服务描述”等选项。然后在“密码”和“端口”选项中设置用于服务端程序连接的端口和密码，端口号只能填写数字并且最多为5位，密码不要采用特殊字符。
　　点击“生成被控端”按钮，就会生成我们需要的Radmin服务端程序。在生成被控端的，生成器也生成了一个名为Clear.exe的文件，它是用来清除被控端的。
第二步 上传隐藏进程程序
　　现在将生成的服务端程序上传到远程系统并运行，接着运行Radmin的客户端程序，并点击工具栏中的“添加新连接”，然后在弹出的窗口设置远程服务端的IP地址和连接端口。
　　设置完成后，远程计算机系统将自动添加到控制窗口。点击鼠标右键中的“文件传输”命令，在弹出的窗口中将进程隐藏程序BlueStarHide（软件下载地址），通过拖曳的方式上传到远程计算机系统中。
第三步 执行进程隐藏操作
　　由于进程隐藏程序BlueStarHide不能在Windos环境中直接运行，而只能在命令提示符窗口操作。在Radmin的客户端中，点击鼠标右键中的“Tel”命令，然后在弹出的Tel窗口中用CD命令进入BlueStarHide所在的目录
。
　　BlueStarHide的使用方法非常的简单，只要执行BlueStarHide Server.exe命令即可隐藏服务端进程Server.exe（进程名可以变）。然后打开任务管理器，在弹出窗口的进程标签中已经无法看到Server.exe了。
藏得再深也能揪出来
　　虽然通过系统的任务管理器不能进行查看，通过《冰刃》等内核级的安全工具，仍然可以轻松地检测到隐藏进程的存在。并且为了提醒用户的注意程度，《冰刃》还专门通过醒目的红色来对隐藏的进程进行标注（如图4）。并不是没有红色的进程就万事大吉，大家最好打开任务管理器和《冰刃》，通过对两个进程列表中的信息进行对比，这样可以更为稳妥地发现隐藏的进程信息。