同事说电脑里隐藏文件无法显示，于是让我帮忙看看是不是有病毒。
于是带了工具就去了，拿出ProcessExplorer就看到两个明显的病毒进程，直接X掉，然后打开IceSword时竟然被模拟按键方式关掉了。
于是又查看了进程的模块列表，在模块列表里看到一个EMXXXX.inf（竟然以inf为扩展名，骗谁呢？），这个也干掉，然后重启了。
以为这回搞定了呢，没想到打开冰刃，又被关掉了。。。
查看了一下，刚才干掉的东西都没有再出现，那么肯定漏了什么。进程都是正常的，那么肯定还有模块存在了。
拿SystemRepairEngine扫了

分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。
我分析的版本如下：
主程序版本: 6.0.1.1003
HookPort.sys版本: 1, 0, 0, 1005
HookPort.sys的TimeStamp: 4A8D4AB8

简单说明：360把所有被hook的系统服务的过滤函数放在了一个表里，索引即对应的系统服务在该过滤函数表中的索引。所有列出来的函数都会被hook掉的，是否处理指某个系统服务有没有相应的过滤函数进行处理，拒绝还是放行就是在过滤函数中完成判断的。不处理的系统服务，将会直接调用原始服务例程。
函数如

今天是个非常重要的日子，祖国60岁生日
回顾祖国60年来的变化，感慨很多，也有些激动，几欲泪奔
相信每个人，心中都有难以言表的骄傲和豪情
阅兵式很精彩，装甲部队的最后，是压轴的核弹；游行方阵的最后，是快乐的孩子
这是个很好的比喻，未来在孩子们身上，他们的重要性不亚于核弹
虽然中国的问题也很多，但是这阻挡不了大发展的趋势
我希望祖国越来越强大，发展越来越好

相当老的话题，大约一年前就写过这个东西了，不过那时候知识比较有限，也不了解内核，因此实现得很粗浅，现在再写一下，权当是对这个老问题的总结吧。
先谈谈正规DLL的隐藏方法，这里说的正规DLL，是指用LoadLibrary以正常方式加载的DLL。
一、从PEB的Ldr链中消失
这个很简单，看雪上NetRoc有一篇关于这个的文章，从分析原理到编程实现，虽然技术不算高深，但是思路非常精彩。来复习一下吧~~
lkd> dt _PEB 7ffdc000

今天在DebugMan又看到这个帖子了，觉得里面的源码确实还不错，给大家分享下：
http://ivanlef0u.free.fr/repo/

里面还有一些电子书什么的，有需要的赶快去下~~