讨论如何完全隐蔽后台程序（用于正常商业行为）

起因：本人从事3G数据卡行业，现负责数据卡自带的cdrom安装包（即PC客户端程序和数据卡驱动程序）。前段时间发觉HW公司的数据卡能够避开autorun所需的时间（10s左右），快速枚举出usb端口。 一开始百思不得其解（因为本人长期从事嵌入式平台，对木马，PC后台什么的毫无概念。。。），后来联想到病毒，木马之类的，才豁然开窍。。。HW公司必然在他们的客户端安装程序中做了随PC机启动的后台程序，用于实时监测usb数据卡的插入，进而能够迅速避开autorun所花费的时间，从而让客户有更良好的体验。 从技术本质上来讲，其实就是一个‘木马’。。。



我现在也开始试图做一个‘木马’，但限于水平有限，发觉n多问题。。。

先说一下我的做法，一个inject.exe程序，开机自启动，往系统进程（svchost.exe等）注入dll(实时检测usb设备的插入)，问题如下：

1. inject.exe我放在“C:\Documents and Settings\xxx\「开始」菜单\程序\启动”下， 但这样的话msconfig中看得到，如何才能让inject.exe尽量隐蔽，不被客户发现？

2. 继续上面的问题，系统启动后，会有个窗口（inject.exe）一闪而过，如何才能避免这个现象，否则用户肯定以为是病毒。。。

3. 本机安装了kis8.0，发现VC调试时会出现问题（比如不能调试，比如系统进程无法注入）， 关闭kis的话，就毫无问题。

4. 安装完HW的程序后，没有发现他们有任何exe文件启动的行为， 注册表AppInit_DLLs中也没有任何dll， 那他们是如何隐蔽的？