win10-win11进程隐藏小技巧

win10-win11进程隐藏小技巧

1.EPROCESS结构

0: kd> dt _eprocess
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x438 ProcessLock      : _EX_PUSH_LOCK
   +0x440 UniqueProcessId  : Ptr64 Void
   +0x448 ActiveProcessLinks : _LIST_ENTRY
   +0x458 RundownProtect   : _EX_RUNDOWN_REF
   +0x460 Flags2           : Uint4B
   +0x460 JobNotReallyActive : Pos 0,1 Bit
   +0x460 AccountingFolded : Pos 1,1 Bit
   +0x460 NewProcessReported : Pos 2,1 Bit
   +0x460 ExitProcessReported : Pos 3,1 Bit
   +0x460 ReportCommitChanges : Pos 4,1 Bit
   +0x460 LastReportMemory : Pos 5,1 Bit
   +0x460 ForceWakeCharge  : Pos 6,1 Bit
   +0x460 CrossSessionCreate : Pos 7,1 Bit
   +0x460 NeedsHandleRundown : Pos 8,1 Bit
   +0x460 RefTraceEnabled  : Pos 9,1 Bit
   +0x460 PicoCreated      : Pos 10,1 Bit
   +0x460 EmptyJobEvaluated : Pos 11,1 Bit
   +0x460 DefaultPagePriority : Pos 12,3 Bits
   +0x460 PrimaryTokenFrozen : Pos 15,1 Bit
   +0x460 ProcessVerifierTarget : Pos 16,1 Bit
   +0x460 RestrictSetThreadContext : Pos 17,1 Bit
   +0x460 AffinityPermanent : Pos 18,1 Bit
   +0x460 AffinityUpdateEnable : Pos 19,1 Bit
   +0x460 PropagateNode    : Pos 20,1 Bit
   +0x460 ExplicitAffinity : Pos 21,1 Bit
   +0x460 ProcessExecutionState : Pos 22,2 Bits
   +0x460 EnableReadVmLogging : Pos 24,1 Bit
   +0x460 EnableWriteVmLogging : Pos 25,1 Bit
   +0x460 FatalAccessTerminationRequested : Pos 26,1 Bit
   +0x460 DisableSystemAllowedCpuSet : Pos 27,1 Bit
   +0x460 ProcessStateChangeRequest : Pos 28,2 Bits
   +0x460 ProcessStateChangeInProgress : Pos 30,1 Bit
   +0x460 InPrivate        : Pos 31,1 Bit
   +0x464 Flags            : Uint4B
   +0x464 CreateReported   : Pos 0,1 Bit
   +0x464 NoDebugInherit   : Pos 1,1 Bit
   +0x464 ProcessExiting   : Pos 2,1 Bit

实践了win10 1503 - win11 23h1 都生效

因为每个版本的偏移可能有所不同，大家要写成成品的话自己收集一下偏移即可

成品我就不放出来了，自己动手丰衣足食。

原文始发于微信公众号（零羊Web）：win10-win11进程隐藏小技巧