VX Z0ne

coded by robinh00d
typedef struct _proc_info
{
DWORD dwPIDOffset;//PID偏移（相对于EPROCESS，下同）
DWORD dwAPLOffset;//ActiveProcessLink偏移
DWORD dwProcNameOffset ;//进程名偏移
char szProcName[16] ;//要隐藏的进程名
}proc_info ;
//取当前进程的EPROCESS
         //遍历ACTIVEPROCESSLINK，遇到要隐藏的进程则用RemoveEn...

没啥说的。。。挂钩NtOpenProcess
#include "ntddk.h"

#define FILE_DEVICE_PROTECTPROC 0x8000
#define PROTECTPROC_IOCTL_BASE 0x800
#define CTL_CODE_PROTECTPROC(i) CTL_CODE(FILE_DEVICE_PROTECTPROC, PROTECTPROC_IOCTL_BASE+i, METHOD_BUFFERED, FILE_ANY_ACCESS)

#define IOCTL_PROTECTPROC_...

在用ATool检测文件系统挂钩的时候，有时候会出现显示被挂钩（红色高亮），但是却检测不出模块名称来。开始觉得很奇怪，用WinDbg看了一下HOOK后的地址：

lkd> u 85b0a1e8
85b0a1e8 8b542408        mov     edx,dword ptr [esp+8]
85b0a1ec 8d4c2404        lea     ecx,[esp+4]

/*===================================================================
* Filename CheckKernel.c
*
* Author: kcrazy
* Email: thekcrazy@gmail.com
*
* Description: 检查Windows所使用的内核及HAL的原始版本
*
* Date: 2007-4-27 Original from kcrazy
*
* Version: 1.0
=================================...

驱动部分
;@echo off
;goto make

;********************************************************************
;author :dge
;homepage:http://llfdge.googlepages.com/
;date :2007.3.16
;********************************************************************

.386
.model flat, stdcall
option casemap:none

include d:\masm32\include\w2k\ntstat...