[测试]WIN64全平台支持的内核线程隐藏（过PCHUNTER等流行ARK）

Tesla.Angela

如果需要购买这个PoC的源码，请查看这里。

注意：部分PoC使用了知名的泄露证书（比如：“HT SRL”等）进行签名，微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载，请使用没有被微软拉黑的证书给驱动重新进行签名，或使用signtool工具移除驱动的签名后再关闭DSE进行测试。

---

WIN32版：http://www.m5home.com/bbs/thread-9481-1-1.html

加载驱动后，驱动会创建一个新线程并在DBGVIEW里不断输出信息，但是PCHUNTER和Windows Kernel Explorer等ARK却无法找到该内核线程。该驱动支持XP到WIN10(19043)，并兼容PatchGuard。在驱动不加VMP的情况下，则支持在开启了VBS+HVCI的系统上运行。该驱动需要硬编码才能支持新系统，在实际应用中可以采取“云下发硬编码”的方式动态支持新系统，也可以通过下载符号文件动态获得硬编码。