如何通过EPROCESS地址断进程链而隐藏进程啊？

Rootkits: Subverting the Windows Kernel 上写的通过
HOOK ZwQuerySystemInformation 实现进程隐藏, 是通过判断进程名是否为要隐藏的进程而摘除进程链的,确实很初级.

这方法显然不实用,(当然通过断链已经是被用烂的code了,但对于偶等刚入门的小鸟来说,还是要经历这一步的:eek

搜索了一下, 围绕EPROCESS展开很方便.
-------------------------------------------------------------------------------------
现在思路大概是这样的:
      主程序启动初期, 通过IoDeviceControl函数将需要保护的进程EPROCESS地址A传送至驱动程序 --> 驱动程序遍历进程句柄(ProcessHandle), 通过ObReferenceObjectByHandle()将该句柄对应EPROCESS地址获取, 然后进行比较,如果相等,就摘除链表中的这个结点.

// ProcessHandle 为每次遍历得到的句柄
// A 为需要保护的进程EPROCESS地址
PEPROCESS process_to_kill;
  if (ObReferenceObjectByHandle(ProcessHandle,GENERIC_READ,NULL,KernelMode,
    &process_to_kill,0) == STATUS_SUCCESS){

      if ( A == process_to_kill &&
        PsGetCurrentProcess() != process_to_kill)
     // 摘除链表中的这个结点.
     ....



这个思路可不可行啊?
问的很菜,见笑了:o:  

另外如何在RINGO遍历得到进程的句柄?　是不是通过　ActiveProcessLinks 链　找到每个进程的SectionHandle　呢

http://www.codeproject.com/system/preventclose.asp

楼上给的代码是用 dwProcessID 是否相等来判断啊

if(pProcessInfo != NULL && pProcessInfo->dwProcessID == dwSelfProcessID)
还要加载DLL,太麻烦了,和偶想的不一样~~~

哦,偶知道了.
参考fu_root就行了.
感谢各位指点~