none7

Если червь такой хитрый и прячется во время активности пользователя, то делайте shell без tty на произвольном порту или вообще backconnect. Обычный sh, червь не должны подозревать. top конечно работать не будет, но ps aux вполне достаточно.
Можно так же добавить правило фаерволла, логировать все новые исходящие подключения. Логи мониторить скриптом, который будет узнавать UID, у netstat PID, а дальше уже, название программы и строку аргументов и хоть всё дерево процессов, если нужно. Но тут главная проблема не в черве, а в том, как он к Вам попал. И сколько резервных копий себя наплодил. Без хорошего знания системы, поможет только переустановка и то не факт, учитывая дыру.
P.S. Права на файлы, chroot и docker придумали не просто так. С изоляцией проще решать подобные проблемы.

Естественно, что после убийство службы она перезапускается, это штатное поведение. Вероятно это попытка Windows собрать информацию об ошибке, отягощённая антивирусом. Если уверен, что это не вирус, то отключи сеть, удали антивирь, перезагрузи систему, разлогинся и дай системе шуршать диском пока ей не надоест(может занять и несколько часов), затем в консоли админа запусти sfc /scannow

Если права админа требуются всегда, то см. Setting the Execution Level in the Application Manifest. Иначе запуск программы через ShellExecute("runas") и передача дочернему процессу необходимых данных.

videoSource: SafeUrl;
videoData: ???;

Ваша программа, это не sh скрипт. И пара строк:

std::system("export myvar=1");
std::system("echo $myvar");

неожиданно выведут пустую строку. Нужно либо устанавливать переменную в том же вызове system(env LD_LIBRARY_PATH=${LD_LIBRARY_PATH} path/to/app) или ручками менять переменные своей программы(getenv/setenv).

Во первых эти массивы должны размещаться в самой структуре, а не управляемые ссылки на них. Странно уже то, что маршалинг исключение не выплюнул. Должно быть как то так:

struct SET_DISK_ATTRIBUTES
{
    public uint Version;
    public bool Persist;
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 3)]
    public byte[] Reserved1;
    public ulong Attributes;
    public ulong AttributesMask;
    [MarshalAs(UnmanagedType.ByValArray, SizeConst = 4)]
    public uint[] Reserved2;
};

Во вторых Вы забыли скопировать структуру в память и передаете функции DeviceIoControl не инициализированный мусор. Так же можно добавить перегруженный метод DeviceIoControl принимающий ref SET_DISK_ATTRIBUTES вместо IntPtr и не возится с динамической памятью. Пока структура является локальной переменной синхронного метода, GC её никуда не утащит.

Вероятно это возможно только через WinAPI и то не факт, что стандартный SDK тут поможет. Пример получения этих данных на Си. perfdata.c

Создание невидимого окна, созданного без dwStyle : WS_VISIBLE и с ShowWindow(hWnd,SW_HIDE), является традиционным способом ловли оконных системных сообщений, работающим даже для служб. При этом вовсе не обязательно компилировать приложение как графическое. Ведь никто не мешает вызвать функции RegisterClassEx и CreateWindowEx в консольном приложении или службе.

Попробуй в политиках запретить Windows Update управлять электропитанием.


Так же есть команда powercfg -lastwake и иногда она помогает выявить виновника пробуждения.

Обычно люди хотят наоборот, чтобы трафик шёл напрямую, а не через сервера корпораций которые безусловно расшифровывают весь транзитный трафик. Но не беспокойтесь, большинство современных voip приложений существуют именно для того, чтобы снифать ваш трафик и тембр голоса им важнее ip-адресов.
Проприетарное приложение всегда может передать кучу информации на сервера и не только реальные Ip-адреса, а вообще любую информацию доступную ему. Например на телефонах они очень любят тырить список контактов. Естественно другим клиентам они Ваш ip-не сливают, незачем. Но есть и такие как webrtc, нацеленные на прямую связь и здесь обмен адресами это необходимость. И браузер попросту не в курсе, что у Вас там где то VPN.
Ответ в общем зависит от конкретного приложения. Но я не знаю проектов нацеленных на полностью анонимный voip. Тут нужен лютый кастом основанный на tor и .onion.

kdl.ru поддерживает только TLSv1.2. Вообще мануал рекомендует не устанавливать опцию CURLOPT_SSLVERSION, чтобы он сам угадал нужную. Странно, что curl даёт неизвестную ошибку, openssl сразу говорит, что удалённый хост не поддерживает TLSv1.