Hardcoded exclusion for the system process

Hidden/PsMonitor.c

@@ -184,9 +184,9 @@ VOID CheckProcessFlags(PProcessTableEntry Entry, PCUNICODE_STRING ImgPath, HANDL
 	RtlZeroMemory(&lookup, sizeof(lookup));
 
 	Entry->inited = (!g_psMonitorInited ? TRUE : FALSE);
-	//if (Entry->processId == (HANDLE)4)
-	//	Entry->subsystem = TRUE;
-	//else
+	if (Entry->processId == (HANDLE)4)
+		Entry->subsystem = TRUE;
+	else
 		Entry->subsystem = RtlEqualUnicodeString(&g_csrssPath, ImgPath, TRUE);
 
 	// Check exclude flag
@@ -329,6 +329,10 @@ BOOLEAN IsProcessExcluded(HANDLE ProcessId)
 	ProcessTableEntry entry;
 	BOOLEAN result;
 
+	// Exclude system process because we don't want affect to kernel-mode threads
+	if (ProcessId == (HANDLE)4)
+		return TRUE;
+
 	entry.processId = ProcessId;
 
 	ExAcquireFastMutex(&g_processTableLock);

Hidden/todo.txt

@@ -60,11 +60,8 @@
 + Залить проект на Git
 	+ Переименовать проект драйвера в Hidden
 	+ Привести в порядок все версии билда Release, Debug, ...
-- Добавить в проект конфигурации для сокрытия виртуалок
-	- Сокрытие VMWare Tools
-		- Отреверсить установщик VMWare tools
-	- Сокрытие VMBox Tools
-		- Отреверсить установщик VMBox tools
++ Добавить процесс System(4) как статически исключенный
+- Подумать по поводу проблемы, что HKLM\System\CurrentControlSet на самом деле берётся из CurrentControl00n
 - Реализовать steals mode
 + Реализовать поддержку загрузки дефольтных конфигов из реестра
 + Реализовать установку конфигов в реестр через hiddencli