查找进程，目录/文件，注册表等操作系统将最终调用 ZwQueryDirectoryFile，ZwQuerySystemInformation，ZwXXXvalueKey 等函数。要想拦截这些函数达到隐藏目的，需先自己实现以上函数， 并修改系统维护的一个 SYSCALL 表使之指向自己预先定义的函数。 因 SYSCALL 表在用户层不可见，所以要写 DRIVE 在 RING 0 下 才 可修改。-the search process, directories / files

ZwQuerySystemInformation枚举进程信息，包括进程优先级，父进程，线程数量等，VC6源码.-ZwQuerySystemInformation enumeration process, including the process priority, the parent process, the number of threads, VC6 source.

获取系统 SSDT 。使用ZwQuerySystemInformation，ZwSystemDebugControl等函数。-Get the system SSDT. Functions ZwQuerySystemInformation, ZwSystemDebugControl.

Ring3 Hook ZwQuerySystemInformation实现隐藏进程，在XP里测试通过。-Ring3 Hook ZwQuerySystemInformation Hide Process made by Chai.

Ring3 ZwQuerySystemInformation Hook(HideProcess) 环境是xp sp2。需要注意的是在Debug版本中可能会存在问题，因为在使用WriteProcessMemory的时候可能会把int 3拷贝过去，所以大家要使用最好使用Release版。-ZwQuerySystemInformation Hook Ring3 (HideProcess) environment is SP2 xp. It should be noted that the Debug