LYSHARK

摘要： 驱动程序加载工具有许多，最常用的当属`KmdManager`工具，如果驱动程序需要对外发布那我们必须自己编写实现一个驱动加载工具，当需要使用驱动时可以拉起自己的驱动，如下将实现一个简单的驱动加载工具，该工具可以实现基本的，安装，加载，关闭，卸载等操作日常使用完全没问题。 阅读全文

摘要： 在进程的`_EPROCESS`中有一个`_RTL_AVL_TREE`类型的`VadRoot`成员，它是一个存放进程内存块的二叉树结构，如果我们找到了这个二叉树中我们想要隐藏的内存，直接将这个内存在二叉树中`抹去`，其实是让上一个节点的`EndingVpn`指向下个节点的`EndingVpn`，类似于摘链隐藏进程，就可以达到隐藏的效果。 阅读全文

摘要： 与断链隐藏进程功能类似，关于断链进程隐藏可参考`《驱动开发：DKOM 实现进程隐藏》`这一篇文章，断链隐藏驱动自身则用于隐藏自身SYS驱动文件，当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块，此方法可能会触发PG会蓝屏，在某些驱动辅助中也会使用这种方法隐藏自己。 阅读全文