隐藏驱动，不适用断链方式

https://bbs.csdn.net/topics/399172563/close  断链隐藏驱动

从kprocess->ProcessListEntry和eprocess->ActiveProcessLinks入手，看一下里面ListEntry的数据就会发现，其实它们是等价的。

特征定位MiProcessLoaderEntry隐藏驱动

https://blog.csdn.net/lyshark_csdn/article/details/127499849?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-4-127499849-blog-82012544.pc_relevant_recovery_v2&spm=1001.2101.3001.4242.3&utm_relevant_index=7

源码：

https://github.com/Sqdwr/HideDriver