最简单的，hook atapi.sys的scsi dispatch,拿到IRP后，向下进行IRP堆栈搜索，搜索到fileobject为你要隐藏的目录的，返回错误，那个目录的文件就都隐藏了~

这算是最简单总线级隐藏了吧~ 几行代码就搞定。对付icesword , darkspy都好使~

自己顶

从pciidex下手？不过它只是export几个函数而已，而且拿windbg跟了一下，这几个函数只是在boot时被pciide总线驱动/intelide调了一下，后来就再没被调用了。。。系统在枚举文件时貌似只走到FS层吧？目前看来对整个storage stack还不太清晰