內核木馬于傳統應用層木馬隱藏技術有什么不同

內核木馬于傳統應用層木馬隱藏技術的區別：

• 進程隱藏：進程隱藏最初技術體系為最簡單的混淆字符隱藏，如系統進程名為svchost.exe，木馬進程名改為svch0st.exe隱藏，緊接著到注冊服務隱藏，dll注入隱藏。現在內核級木馬大部分通過進程控制塊中的活動進程鏈表（ActiveProcessLinks）中摘除自身來達到隱藏，或通過從PspCidTable表中摘除自身等方法來達到隱藏目的。

• 文件隱藏：文件隱藏最初是通過存放于敏感目錄（系統目錄）并混淆文件名來實現，后來有些人通過掛鉤應用層上的FindFirstFile，FindNextFile等API來實現該目的，現在在內核層隱藏文件方法一般試用FSDHook或FSD Inline Hook來實現。

• 自啟動隱藏：自啟動隱藏先后經歷了添加注冊表Run值，修改系統啟動文件，注冊為服務，修改定時程序，感染系統文件技術來實現，現在黑客開始關注于在硬盤固件，bios等地方做手腳來實現自啟動隱藏。

• 通訊隱藏：對于通信隱藏來說，現在有些研究者已經實現了NDIS小端口驅動層的隱藏，不過主流的木馬仍然在TDI層面上通信或者在NDIS中間層上通信。

回答所涉及的環境：聯想天逸510S、Windows 10。