NT内核在创建进程时，会将自身插入到nt!PsActiveProcessHead链表中，它保存的是当前系统中活跃的进程链表。

NTSTATUS

PspCreateProcess(

    OUT PHANDLE ProcessHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,

    IN HANDLE ParentProcess OPTIONAL,

    IN ULONG Flags,

    IN HANDLE SectionHandle OPTIONAL,

    IN HANDLE DebugPort OPTIONAL,

    IN HANDLE ExceptionPort OPTIONAL,

    IN ULONG JobMemberLevel

)

{

    PspLockProcessList (CurrentThread);

    InsertTailList (&PsActiveProcessHead, &Process->ActiveProcessLinks);

  PspUnlockProcessList (CurrentThread);

}

在kd查看下相关的数据结构信息：

0: kd> dt nt!_eprocess

    +0x2e8 UniqueProcessId  : Ptr64 Void

    +0x2f0 ActiveProcessLinks : _LIST_ENTRY

Win32 api就是通过调用nt!NtQueryInformationProcess函数获取系统的进程列表，所以隐藏进程的一个思路就是将目标进程从nt!PsActiveProcessHead链表中摘除。

首先看下，如何编写kd脚本，来输出全部的进程列表：

r $t1=$proc;

r @$t2=@$t1;

.while (@$t1 != poi(@$t2+0x2f0)-0x2f0)

{

                .printf "%ma\n", @$t2+0x450;

                r @$t2=poi(@$t2+0x2f0)-0x2f0

}

  PsActiveProcessHead是一个双向循环列表，因此只要知道一个节点的地址，就能循环遍历处所有的节点。

  $proc在kd环境中保存的是当前进程的eprocess地址。

  Poi(@$t2+0x2f)为Process->ActiveProcessLinks地址，poi函数用于取地址中的值，类似于c的取指针值操作。Poi(@$t2+0x2f)得到的就是当前节点的下一个节点地址。

  那么删除双向链表中的节点，就可以使用如下脚本：

$$ 准备遍历PsActiveProcessHead链表

r @$t1=nt!PsActiveProcessHead;

r @$t2=poi($t1);

.while (@$t2 != @$t1)

{

    $$ 判断是否是需要隐藏的进程号

        .if (poi(@$t2-0x8) == 0n532)

                 {

                        .printf "start hide process %ma(%d)\n", @$t2-0x2f0+0x450,poi(@$t2-0x8) ;

      $$ 删除链表节点

                          eq poi(@$t2)+0x8 poi(@$t2+0x8)

                          eq poi(@$t2+0x8) poi(@$t2)

                          .break

                  }

    $$ 获取下一节点

                  r @$t2=poi(@$t2)

}