TitanHide

不要来这里，开放有关安装问题的问题，错误检查0x109：criality_structure_corruption或有关如何禁用PatchGuard的问题。我将永久禁止您进入问题跟踪器。如果您不知道如何正确安装该工具，则不足以负责任地使用它，并且应该使用Scyllahide之类的其他东西。要禁用PatchGuard，请尝试efiguard，upgdsed或鲨鱼。

泰坦希德（Titanhide）是一名驱动程序，旨在将调试者隐藏到某些过程中。驱动程序挂钩各种NT*内核函数（使用SSDT表钩）并修改原始功能的返回值。要隐藏一个过程，您必须将带有ProcessID和隐藏选项的简单结构传递给驱动程序。内部API旨在添加钩子几乎没有努力，这意味着添加功能确实很容易。

这个项目的想法是与Cypher一起想到的，大喊大叫的人！

• ProcessDebugflags（ntqueryInformationProcess）
• ProcessDebugport（ntqueryInformationProcess）
• ProcessDebugoBjectHandle（ntqueryInformationProcess）
• debugobject（ntqueryObject）
• SystemKerneldeBuggerInformation（ntquerysysteminformation）
• SystemDebugControl（ntsystemdebugcontrol）
• ntclose（status_invalid_handle/status_handle_handle_not_closable异常）
• threadhidefromdebugger（ntsetInformationThread）
• 保护DRX（HW BPS）（ntgetContextThread/ntsetContextThread）

• Windows 10 x64＆x86
• Windows 8.1 x64＆x86
• Windows 7 x64＆x86（SP1）
• Windows XP X86（SP3）
• Windows XP X64（SP1）

1. 安装Visual Studio 2013（Express Edition未经测试）。
2. 安装WDK10/WDK8/WDK7。
3. 打开TitanHide.sln并击中编译！

1. 将TitanHide.sys复制到%systemroot%system32drivers 。
2. 运行命令sc create TitanHide binPath= %systemroot%system32driversTitanHide.sys type= kernel创建Titanhide服务。
3. 运行Command sc start TitanHide以开始泰坦希德服务。
4. 运行命令sc query TitanHide以检查泰坦希德（Titanhide）是否正在运行。

1. 将TitanHide.sys复制到%systemroot%system32drivers 。
2. 启动ServiceManager.exe （在下载页面上可用）。
3. 删除旧服务（在场时）。
4. 安装新服务（指定通往TitanHide.sys的完整路径）。
5. 启动您刚创建的服务。
6. 使用TitanHideGUI.exe为PID设置隐藏选项。

为了启用测试签名运行以下命令：

 bcdedit /set testsigning on

要禁用PatchGuard，请找到像KPP驱逐舰这样的工具以禁用它（Google是您的朋友）。要检查Titanhide是否正常工作，请使用DebugView或检查C:TitanHide.log 。您也可以尝试Efiguard，upgdsed或鲨鱼。

• 使用X64DBG时，您可以使用Titanhide插件（在下载页面上可用）。
• 切勿在生产系统上运行此驱动程序，请务必使用VM！