hook SDT隐藏进程

          现在人们安全意识提高了，即使一个计算机菜鸟也懂得查看一下进程管理器，所以编写木马比不可少的是隐藏进程了，要隐藏进程在win9e 上好像可以在ring3级完成，但xp下必须在Ring0级才行。
    download 了一篇介绍hook SDT 隐藏进程的论文，它的原理很简单，进程管理器查询的是进程链表，那么只要把对应的进程从链表中删除掉，实践一下，自己编写了一个却没调成功，只得向网上求助，才大呼上当，原来这样的代码在好几年前就有了，而那篇论文是在本年度写的，却当成最前沿的技术在介绍，实在不靠谱，可见中国论文的质量存在老大问题了。
 
    果不其然，WDK build 出来以后瑞星报了可疑文件,  病毒种类为RootKit.Win32.Agent.GEN，只是可疑文件，默认是不删除的。 还是分析一下是哪一部分报的毒吧。看看能不能改改，整个驱动没多大，我估计有两个地方可能存在隐患，一是修改真实的ZwQuerySystemInformation 到所 hook 的服务 HookZwQuerySystemInformation的过程；二是HookZwQuerySystemInformation 代码本身。先注释掉上面两部分，再编译，果然不报病毒了，再缩小范围，最后确定是修改系统ZwQuerySystemInformation所导致的，而HOOK代码却没报毒，想想也对，守住了这个关键的地方，不让你改，即使HOOK代码多变又如何。
    改是改不了，不过只是可疑文件，倒还可以用着玩玩。要想实现真正完美的隐藏隐藏，还得采用更新的技术才行。