鸽子的隐藏原理:
Inline Hook1.写远进程,修改以下8个API的入口代码,成 0xE9 XXXX,使调用这些API的进程跳入它的陷阱,对所获取的信息进行过滤:文件隐藏使用的是hook,FindNextFileA和FindNextFileW。进程隐藏是hook ZwQuerySystemInformation。服务隐藏是hook,EnumServicesStatusA和EnumServicesStatusW注册表隐藏是hook RegEnumKeyExW和RegEnumKeyExA还hook了这个API,ZwTerminateProcess