有啥好说的，无非就是hook、断链、伪造等手法
想检测怎么都能检测到，除非你把东西抹杀掉，但那样就没有意义了
想蒙蔽RING3很容易，但RING0基本不可能，最起码我不知道
比如进程可以搜索更加底层的链表，甚至调度链表
文件可以直接物理解析
驱动也可以暴力搜索
这些都是RING0做的，所以我才说意义不大，也就是骗骗RING3

见光死， 算是一种可能吗

还有系统触不到有硬件资源可以用来隐藏的。

你在开玩笑么？你学过《操作系统》这本书吗？除非你没上过大学或非计算机专业。
操作系统就是负责管理硬件资源的，你所谓的“系统触不到”已经违背了设计初衷。
或许我无知了？你给个说法我去查资料，我是真不知道“有硬件资源可以用来隐藏”
比如
系统“触不到”的进程如何进行调度管理？
系统“触不到”的文件如何访问？
系统“触不到”的驱动如何驱动硬件？
我很好奇。

这个不好说吧，从WRK出现后内核的秘密已经很少了
再加上M$的符号表，深入分析内核已经不难
再说现在的隐藏技术没有什么市场，有什么东西需要隐藏？
除了恶意程序，但现在病毒已经萎靡，没有以前疯狂了
所以关注的人也少了（其实也没什么新思路出现）

首先，可能是我无知了。

——
1.你知道IA-32架构支持除实模式、保护模式之外的模式，SMM否
2.你知道hypervisor这玩意否
3.你知道bootkit，扩展ROM，UEFI固件否
4.你知道硬盘驱动器的HPA和DCO否，知道磁盘闲置空间否，我把代码放里面自成生态，你操作系统能访问的到?

另外，你说的“hook、断链、伪造等手法”只不过是隐藏技术的一小部分
——
本人重点大学毕业，不要随便侮辱我没上过学

我没有任何对你不敬的态度，如果我的话使你感到不爽，我道歉
你所说的那些东西有一部分我知道，我也有不懂的，非全才
但你自己都说是自成生态，脱离了OS的管理，隐藏毫无意义啊
我认为隐藏就是某程序可见，某程序不可见，归根到底都是OS提供的服务
不需要钻牛角尖非要怎么怎么隐藏，或者对系统隐藏，要有实际意义
即系统要对某资源（文件，进程，内存等）有管理权，才会有隐藏的目的性和意义
好了跑题了，别让别人看笑话哈。
另外，我毕业的大学非重点大学，你比我强的。

加驱动就拦死。。。

yes
在内核中只有比谁更猥琐
没有什么“你知道我不知道的”
当然我知道的肯定不多，需要学习

两位大牛，学术研讨，大家都要心平气和。大家都有自己的长短，多海涵呀！

“事在人为，休言万般皆是命；境由心生，退后一步自然宽”

你一说长短我就想到了深浅，太邪恶了我。

谢谢你的回答。关于进程更底层链表的搜索，可以讲的更仔细一些吗？

很多东西可以自己实现
比如调度啊进程对象管理啊什么的

如果你不爽，再自己reload个内核自己用

再用intel-vt & AMD-v藏内存（如果不支持的话用缺页异常来藏，不过防不了物理内存搜索）
就彻底没痕迹了

如何检测VT我倒是没接触过
但重载内核或接管缺页异常就必须有HOOK吧，那检测就更简单了
我还是认为，在同级别的对抗中没有什么方法是检测不到的，只有谁更猥琐
无坚不摧，唯快不破。（病毒与反病毒、外挂与反外挂，等等等等）

Windows是以线程为调度单位的
直接找这个链表，顺藤摸瓜找到进程对象即可
只是这个方法没有通用性，需要硬编码

VT处理的好无法检测
这个是cpu特性，你懂的
上帝模式

连进程对象都可以完全抹干净，不过如果这样我们得自己实现系统的很多机制^

而且进程这种东西只是个容器
抛掉也无妨
其实做隐藏要换个思路，不一定要你无法发现我，让你忽视掉我就行

弱弱问一下r3用缺页怎么搞。以前研究了几天放弃了。

建议直接放弃我也尝试过，咋搞都不稳定
但是我坚信这个思路是可行的……

windows中线程会被分配到多个链表中，如等待，就绪等等。如此多的链表，是存在同一个地方吗？还是不同的地方，有没有什么具体的数据结构，是与这些链表相关的。

说两句哈，别喷我，尽量不带情绪

首先，解释一下，
”文件“ 属于文件系统范畴，是对数据进程归纳，抽象到一个对象中，作为一个实体存在。
”线程，句柄“ 属于操作系统范畴，硬件资源上不存在这些概念，如果想要操作这些对象，必须上升到操作系统层面上来。
”内存数据“ 本贴讨论的内存，是指操作系统范畴内的数据，对于当前操作系统有意义的数据，除此之外的”内存数据“，不在本贴讨论范围。
另外，本贴中的文件，也属于操作系统范畴内的文件，不能脱离于操作系统，隐藏一个脱离于当前操作系统的文件，对本贴来说，无任何意义 ，不要讨论的范围内。

无论是硬件，还是软件，最终必须上层到操作系统层面上，才能完成”隐藏的那些事“，一但上升到操作系统，就是软件层面上的事了，跟硬件没半毛关系了，所以，根本不存在能干”隐藏的那些事“的纯硬件，硬件只能作为 软件的载体，

所以，你讲的那样的硬件，的确不存在，即使存在，也只能作为软件载体，剩下的无非就是hook、断链、伪造等手法，
至于 这样的硬件，操作系统能否访问，已无关紧要了

本文标题所指的“隐藏的哪些事”是指在操作系统意义下的 文件，进程，线程，句柄，内存数据 等等内容，所以，要想干这些事的硬件，必须能干涉操作系统才行，还是得回到操作系统层面上面来，纯硬件，是干涉不了操作系统的，除非他向操作系统注入代码，并且执行,最终还是得回到"hook、断链、伪造等手法"上面来

就你“的smm,vt等”的确可以用来干这些事，但这东西，操作系统是可以“触摸”的，参见win2008
至于 “bootkit，扩展ROM，UEFI固件否等”，最终还是得回到操作系统层面上来，而且，这些东西，是操作系统本身可以访问的，

至于 ”硬盘驱动器的HPA和DCO“，这东西，你应该讲的是通过特殊编程器编程的驱动器吧，这种 是无法干涉操作系统，只能隐藏文件，而且编程十分麻烦，所以一般没有实际应用意义，只能在一些特殊领域起作用，如果可以在操作系统，直接对驱动器编程的，就是操作系统可访问的硬件了，
据我所知，网卡，硬盘，主板bios，等均可写入代码，并且执行，其中，能插入后门的，我见过的只有bios,而这种代码，能写入的数据很少，而且代码必须进入到操作系统层面，还是回到了现有的技术问题上面来，还是得回到"hook、断链、伪造等手法"上面来

至于  “磁盘闲置空间” ，可以明确告诉你，硬盘全空间，操作系统均可访问，只是你没有访问权限而已

至于 “我把代码放里面自成生态” ，可以明确告诉你，你的代码是死的，不会起任何作用，只是一堆无用数据而已，
如果配合“bootkit" ,"mbr"等，最终还是得回到操作系统层面上来，

”本人重点大学毕业，不要随便侮辱我没上过学“ 他辱没你，的确不对，有点带刺，
但你这个所谓的”硬件资源“，我没有见过

至于 这样的硬件，是否存在，我想，理论上应该存在，只是在实际环境 中我们都没有见过，
那就是CPU后门程序，这种程序直接写入硬件，必须通过特殊编程器件，才能编程，操作系统不可访问，数据 存放在cpu中特定flush中，，，可以达到想要的隐藏效果，但，还是最终还是得回到操作系统层面上面来，因为需要隐藏的东西，除了文件以外，其它的，都属于操作系统范畴，不到操作系统层面上来，就不存在这些东西，对吧，

脱离文件系统的二进制片段不叫文件，那你说的是对的，没有能隐藏的东西了。这种基于硬件的只能完全隐藏自身，隐藏不了操作系统的东西。

跟我说你手撸了这么多！！

强势围观，我是打酱油的。