64位下SSDT没有导出需要自己定位
64位下驱动加载必须有签名，除非你用TDL4方式加载:replace kdcom.dll+reload and run~
再有HOOK SSDT会蓝的，因为有PatchGuard

我劝你还是放弃吧～

话说x64有个东西叫patchguard

网上有文章《在Win64系统上免费加载驱动以及绕过PatchGuard（WIN64内核越狱）》，求高手讲解！

鸡肋文章，不看也罢
纯粹理论性的东西，根本没实用价值。你见过那个马或者正规安全软件对系统做这么大的修改的？

或者有其他方法吗？求大大们指点：比如我想在Win64下面隐藏所有的.doc文件，除了hook ZwQuery...函数，有别的途径吗？

文件过滤驱动就可以了。。。

请推荐相关帖子，学习资料！我一直以为文件过滤驱动都是 在openfile的时候被调用，比如查病毒什么的，要用文件过滤驱动，而且这类驱动都是处理文件内容的，好像和我需要的功能是2回事儿。

我装的是WDK7600，在src\filesys\miniFilter 目录下有MetadataManager、minispy、nullFilter、passThrough等几个例子，请问对于我要实现的功能，即隐藏.doc文档，可不可以通过修改某个例子的某几个函数来实现呢？

求指教！

http://bbs.pediy.com/showthread.php?t=144511

替换内核可以过PatchGuard的，你可以网上找找。
x64的SSDT方法也很多，有个老外的你看看吧
ULONGLONG GetKeServiceDescriptorTable64()
{
        char KiSystemServiceStart_pattern[13] = "\x8B\xF8\xC1\xEF\x07\x83\xE7\x20\x25\xFF\x0F\x00\x00";       
        ULONGLONG CodeScanStart = (ULONGLONG)&_strnicmp;
        ULONGLONG CodeScanEnd = (ULONGLONG)&KdDebuggerNotPresent;
        UNICODE_STRING Symbol;
        ULONGLONG i, tbl_address, b;
        for (i = 0; i < CodeScanEnd - CodeScanStart; i++)
        {
                if (!memcmp((char*)(ULONGLONG)CodeScanStart +i, (char*)KiSystemServiceStart_pattern,13))
                {
                        for (b = 0; b < 50; b++)
                        {
                                tbl_address = ((ULONGLONG)CodeScanStart+i+b);
                                if (*(USHORT*) ((ULONGLONG)tbl_address ) == (USHORT)0x8d4c)
                                        return ((LONGLONG)tbl_address +7) + *(LONG*)(tbl_address +3);
                        }
                }
        }
        return 0;
}

在Vista以上版本的x64系统，最好使用微软提供的接口来实现相关的功能。隐藏文件可以使用文件过滤驱动。
PS:替换内核文件这种方法还是不要用的好。正规软件不能这么搞，搞木马这么搞又太鸡肋

ZwQueryDirectoryFiles不仅仅可以在SSDT里搞，还可以在用户态搞。

64位首先没签名加载不了驱动，其次加载了驱动也没法挂钩子，但是可以采用文件过滤驱动来做。

用户态可以用全局钩子（或Explorer插件）注入到需要隐藏文件的进程中，然后挂钩ntdll中的ZwQueryDirectoryFile即可。

原来隐藏文件有这么多方法的！！谢谢上面所有回复的大大们，我先研究研究zadley给的那个藏目录的帖子，因为那上面的代码比较多，以后一个个研究64位HOOK SSDT和用户态下的HOOK!
谢谢各位