TitanHide

不要來這裡，開放有關安裝問題的問題，錯誤檢查0x109：criality_structure_corruption或有關如何禁用PatchGuard的問題。我將永久禁止您進入問題跟踪器。如果您不知道如何正確安裝該工具，則不足以負責任地使用它，並且應該使用Scyllahide之類的其他東西。要禁用PatchGuard，請嘗試efiguard，upgdsed或鯊魚。

泰坦希德（Titanhide）是一名驅動程序，旨在將調試者隱藏到某些過程中。驅動程序掛鉤各種NT*內核函數（使用SSDT表鉤）並修改原始功能的返回值。要隱藏一個過程，您必須將帶有ProcessID和隱藏選項的簡單結構傳遞給驅動程序。內部API旨在添加鉤子幾乎沒有努力，這意味著添加功能確實很容易。

這個項目的想法是與Cypher一起想到的，大喊大叫的人！

• ProcessDebugflags（ntqueryInformationProcess）
• ProcessDebugport（ntqueryInformationProcess）
• ProcessDebugoBjectHandle（ntqueryInformationProcess）
• debugobject（ntqueryObject）
• SystemKerneldeBuggerInformation（ntquerysysteminformation）
• SystemDebugControl（ntsystemdebugcontrol）
• ntclose（status_invalid_handle/status_handle_handle_not_closable異常）
• threadhidefromdebugger（ntsetInformationThread）
• 保護DRX（HW BPS）（ntgetContextThread/ntsetContextThread）

• Windows 10 x64＆x86
• Windows 8.1 x64＆x86
• Windows 7 x64＆x86（SP1）
• Windows XP X86（SP3）
• Windows XP X64（SP1）

1. 安裝Visual Studio 2013（Express Edition未經測試）。
2. 安裝WDK10/WDK8/WDK7。
3. 打開TitanHide.sln並擊中編譯！

1. 將TitanHide.sys複製到%systemroot%system32drivers 。
2. 運行命令sc create TitanHide binPath= %systemroot%system32driversTitanHide.sys type= kernel創建Titanhide服務。
3. 運行Command sc start TitanHide以開始泰坦希德服務。
4. 運行命令sc query TitanHide以檢查泰坦希德（Titanhide）是否正在運行。

1. 將TitanHide.sys複製到%systemroot%system32drivers 。
2. 啟動ServiceManager.exe （在下載頁面上可用）。
3. 刪除舊服務（在場時）。
4. 安裝新服務（指定通往TitanHide.sys的完整路徑）。
5. 啟動您剛創建的服務。
6. 使用TitanHideGUI.exe為PID設置隱藏選項。

為了啟用測試簽名運行以下命令：

 bcdedit /set testsigning on

要禁用PatchGuard，請找到像KPP驅逐艦這樣的工具以禁用它（Google是您的朋友）。要檢查Titanhide是否正常工作，請使用DebugView或檢查C:TitanHide.log 。您也可以嘗試Efiguard，upgdsed或鯊魚。

• 使用X64DBG時，您可以使用Titanhide插件（在下載頁面上可用）。
• 切勿在生產系統上運行此驅動程序，請務必使用VM！