KHide工具及源码

功能介绍：

1. 保护一个特定的文件，使其隐藏。
2. 保护特定的注册表Key不被访问。

原理介绍：

1. 文件隐藏基于MiniFilter来实现，通过处理IRP_MJ_DIRECTORY_CONTROL消息来实现。
2. 注册表保护基于注册表回调来实现，处理RegNtPreCreateKeyEx类型来实现。

演示

解压密码：

481384100

安装：

1. 右键KHide.inf，选择安装。
2. 启动管理员权限的cmd，输入命令: sc start KHide，观察输出为运行，表示驱动已经正常加载。（驱动未签名，需要关闭驱动强制签名后使用）
3. 打开用户态控制工具：KHideCtrl.exe

使用说明：

1. 执行：KHideCtrl.exe [-r] [-f].

2. 程序会提示输入要隐藏的文件和保护的注册表路径。

   1. -f格式：C:\test.txt
   2. -r格式：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KHide
3. 之后，程序停止执行，等待继续键入任意键，取消隐藏和保护。

注意：

1. 目前支持最新的Win10 2004 x64（x86版本未测试）。
2. 对于中文等特殊字符，未详细测试，理论支持。
3. 由于该工具只是作为Demo使用，理论支持x64所有平台。
4. 该工具目的仅作为学习使用，不可用于任何非法行为，若因使用产生任何后果，与本人无关。
5. 其它问题，如需要源码，可以联系QQ群：414792053