爱德华重新将正在运行的进程检查了一遍，一个一个地看过去，分析他们的具体功能，可是他还是没有发现到底是哪个进程完成了这一动作。

“到底是哪个进程？”

爱德华跟它卯上了，他再次将蠕虫下载下来，可是又一次被删除，一次又一次……

“不行，我得冷静下来。”

爱德华按捺住内心的焦躁，梳理一下自己的思路。

“它能够如此迅速地就检测到tree蠕虫病毒的存在，意味着肯定正在运行当中，随时对内存中运行的程序进行检测……”

“无法从进程里面看到，也就是说它隐藏了自己……”

“进程是运行在内存当中的，命令将进程显示出来，就是读取内存当中特定的数据结构，它能够隐藏自己，难道说它修改了保存进程信息的数据结构？”

爱德华一步步地梳理思路，竟然得出了这么一个让人感到震惊的结论！

在此之前，可从来没有出现过这样的技术。

爱德华思考良久，觉得这个可能性非常大。

于是，他跑到机房外面安东尼的办公桌旁，借着他的电话给西奥多打了个电话，让他立刻帮自己找一个能够探测内存运行内容的工具程序。

西奥多立刻就给了他一个答复，他们安全小组里面的成员，虽然对vms系统安全问题不是很了解，但是在这些方面的研究倒是很深，有人手中正好有这样的工具，平时是用来破解软件程序的。

“ramdetect”软件立刻被下载到了服务器中。

爱德华首先将其运行起来，查看了一下，并没有什么异常，他保持这个软件不动，在后台运行，接着设置好每个一秒钟就将当前内存里面的进程记录保存到log文件里面。

接着，他再次将tree蠕虫给下载下来，一闪而过之后，他立刻切换到“ramdetect”界面，还是那样，没有多余的进程。

他退出这个软件，然后找到之前设置好的文件夹，在里面找到了一个log文件。

短短地十几秒钟时间，里面已经保存了两百多行的记录。

爱德华仔细地分析着这个log文件，最终在后半部分找到了一个不同之处，让他的精神顿时一振。

在这一时刻保存下来的记录，多了一个进程，名为“ghost（幽灵）”。

爱德华反复对比前后的记录，这个进程在前后都没有出现，只有在那一秒的时候，才出现过。