隐藏驱动,绕过XueTr 0.39检测

最新推荐文章于 2023-04-22 19:23:01 发布
最新推荐文章于 2023-04-22 19:23:01 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 驱动开发学习 文章标签: table string object struct list null



By KiDebug May 27
  1. 当系统加载一个驱动时,会为这个驱动建立一个_KLDR_DATA_TABLE_ENTRY结构体,DRIVER_OBJECT结构体的DriverSection成员指向这个结构体。以下是WRK中_KLDR_DATA_TABLE_ENTRY结构体的定义: 

  3. typedef struct _KLDR_DATA_TABLE_ENTRY { 
  4. LIST_ENTRY InLoadOrderLinks; 
  5. PVOID ExceptionTable; 
  6. ULONG ExceptionTableSize; 
  7. // ULONG padding on IA64 
  8. PVOID GpValue; 
  9. PNON_PAGED_DEBUG_INFO NonPagedDebugInfo; 
  10. PVOID DllBase; 
  11. PVOID EntryPoint; 
  12. ULONG SizeOfImage; 
  13. UNICODE_STRING FullDllName; 
  14. UNICODE_STRING BaseDllName; 
  15. ULONG Flags; 
  16. USHORT LoadCount; 
  17. USHORT __Unused5; 
  18. PVOID SectionPointer; 
  19. ULONG CheckSum; 
  20. // ULONG padding on IA64 
  21. PVOID LoadedImports; 
  22. PVOID PatchInformation; 
  23. } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY; 
  24. 其中 PVOID DllBase; 成员指明了驱动的加载基址; 
  25. UNICODE_STRING FullDllName;指明了驱动.sys文件的全路径; 
  26. 所有驱动的结构体通过InLoadOrderLinks成员链接起来,链表头部为PsLoadedModuleList,因此可以通过遍历PsLoadedModuleList来得到所有加载的驱动。 

  28. 在测试中发现,如果将某一驱动的DllBase或FullDllName.buffer填为0,那么XueTr就不会显示这个驱动,以下是将DllBase填0时的验证代码: 
  29. /* 
  30. * 【作者:KiDebug】 
  31. * 【空间:http://hi.baidu.com/KiDebug/】 
  32. */ 
  33. #include <ntddk.h> 

  35. //偷懒版,完整版定义见WRK的_KLDR_DATA_TABLE_ENTRY 
  36. typedef struct _LDR_DATA_TABLE_ENTRY { 
  37. LIST_ENTRY InLoadOrderLinks; 
  38. LIST_ENTRY InMemoryOrderLinks; 
  39. LIST_ENTRY InInitializationOrderLinks; 
  40. PVOID DllBase; 
  41. PVOID EntryPoint; 
  42. ULONG SizeOfImage; 
  43. UNICODE_STRING FullDllName; 
  44. UNICODE_STRING BaseDllName; 
  45. }LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY; 

  47. PVOID pDllBase; 

  49. VOID Reinitialize( PDRIVER_OBJECT DriverObject, PVOID Context, ULONG Count ) 

  51. ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->DllBase = NULL;//将DllBase填0 


  54. void testUnload(IN PDRIVER_OBJECT DriverObject) 

  56. ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->DllBase = pDllBase;//恢复DllBase,以便驱动能顺利卸载 


  59. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) 

  61. DriverObject->DriverUnload = testUnload; 
  62. pDllBase = ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->DllBase; 
  63. IoRegisterDriverReinitialization(DriverObject,Reinitialize,NULL); 
  64. return STATUS_SUCCESS; 

  66. 用InstDrv.exe加载编译后的驱动test.sys,依次点击安装、启动,然后用XueTr查看“驱动模块”,里面没有test.sys;用IceSword.exe 1.22查看“内核模块”,可以看到test.sys的存在。 


  69. 以下是将FullDllName.buffer填为0时的验证代码: 
  70. /* 
  71. * 【作者:KiDebug】 
  72. * 【空间:http://hi.baidu.com/KiDebug/】 
  73. */ 
  74. #include <ntddk.h> 

  76. //偷懒版,完整版定义见WRK的_KLDR_DATA_TABLE_ENTRY 
  77. typedef struct _LDR_DATA_TABLE_ENTRY { 
  78. LIST_ENTRY InLoadOrderLinks; 
  79. LIST_ENTRY InMemoryOrderLinks; 
  80. LIST_ENTRY InInitializationOrderLinks; 
  81. PVOID DllBase; 
  82. PVOID EntryPoint; 
  83. ULONG SizeOfImage; 
  84. UNICODE_STRING FullDllName; 
  85. UNICODE_STRING BaseDllName; 
  86. }LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY; 

  88. void testUnload(IN PDRIVER_OBJECT DriverObject) 



  92. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) 

  94. DriverObject->DriverUnload = testUnload; 
  95. ((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection)->FullDllName.Buffer=NULL; 
  96. return STATUS_SUCCESS; 
  97. }
复制代码
先用InstDrv.exe加载编译后的驱动test.sys,依次点击安装、启动,然后双击打开IceSword.exe 1.22,提示“程序初始化失败,错误代码1”,然后提示“无法初始化,程序退出”;双击打开PowerTool.exe 3.6.2,蓝屏。 
打开XueTr.exe 0.39,查看“驱动模块”,显示有可疑驱动的存在,如果在WinDBG中手动将ntkrnlpa.exe对应的FullDllName.buffer填为0,XueTr不会显示ntkrnlpa.exe的存在。 

浓缩版: 
1:DllBase填0,无可疑驱动 
2:FullDllName.buffer填0,有可疑驱动 
3:XueTr 0.39 
4:没有建立DeviceObject 
cosmoslife
关注
专栏目录
XueTr_0.39
05-11
XueTr_0.39 强大的手工杀毒辅助工具 XueTr与著名的冰刃(IceSword)不相上下,XueTr能够具备冰刃的注册表管理功能,即完全显现隐藏的注册表键值、获取任意注册表键值的最高权限等;另XueTr删除文件的功能已经超越了冰刃,并且有Unlocker所不具备的解锁隐藏文件能力,而在杀进程方面,XueTr与冰刃是一样的强大,但是操作更为友好和安全些。
XueTr(未知病毒检测工具) v0.45 绿色版.rar
07-09
XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。 XueTr的主要功能 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.其它一些手工杀毒时需要用到的功能,如修复LSP、修复安全模式等 注意:部分杀毒软件可能会报毒,如有报警请选择放过;请不要新老版本同时使用,否则会导致使用问题,如部分功能不显示(白板)等。 警告:不正当使用此工具极易引起系统崩溃或其它无法预知问题,不推荐无经验者使用。
绕过反外挂软件的驱动级鼠标键盘按键模拟脚本软件测试版.msi
05-25
绕过反外挂软件的驱动级鼠标键盘按键模拟脚本软件测试版,这个可绕过反外挂软件的鼠标键盘监控,是驱动级的模拟鼠标键盘按键,软件名称AutoExecute,运用LUA脚本技术进行网游外挂脚本开发,基于图像识别的方式模仿人玩游戏的自动操作。 网盘分享: http://pan.baidu.com/s/1ntqgdQx
绕开驱动检测的无痕注入
陈子青的博客
07-18 1434
搜了标题相关的文章既然没有?想要源码可私信~~~
最新绕过TX驱动保护TesSafe.sys 方法.
10-29 782
 最新绕过TX驱动保护TesSafe.sys 方法.众所周知,DNF的驱动Inline Hook了几个函数,我只研究了NtOpenProcess这个函数,发现其在NtOpenProcess函数调用 ObOpenObjectByPointer的地方下了个跳转,跳转到DNF自身的代码里面,从而使其他程序无法通过此函数获取DNF的进程句柄而达到保护的目的。此外,DNF的驱动还Inline Hook了Nt
XueTr 0.39 支持Win7SP1
03-08
**系统信息查看**:XueTr能够全面地展示用户的操作系统信息,包括但不限于硬件配置、驱动程序详情、系统服务状态、网络连接状况、注册表信息等,这对于系统诊断和故障排除极其重要。用户可以通过这些信息了解系统...
vb检测内核模块PCHunter驱动XueTr驱动
02-23
在开软件的过程中,自己写的软件如何防止被人分析呢?一定要把PCHunter 工具 和 XueTr工具屏蔽掉,检测到这类软件的驱动就让软件 失效。
XueTr 0.39 2011-3-6更新
03-12
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、...
xuetr 二合一单文件 支持WIN10 32 64位 V1.52.rar
01-23
标题 "xuetr 二合一单文件 支持WIN10 32 64位 V1.52.rar" 暗示我们讨论的是一个名为 "xuetr" 的软件工具,它是一个专为Windows 10操作系统设计的驱动程序管理与检测工具。这个版本是V1.52,意味着它是经过多次更新和...
隐藏驱动的方法
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 721
以下内容来自www.rootkit.com Driver Hidding based on the following methods: 1.removing module form PsLoadedModuleList(that passed some old rkdectors) 2.removing object from ObjectDirectory(that bypassed
ESword(开源ARK)
06-27
开源啦,易语言开发的一款开源ARK,里面全有代码和驱动代码。
易语言的驱动隐藏模块
04-17
呵呵。阿斯达斯阿萨德阿萨德阿萨德阿萨德阿斯达岁的阿萨德阿萨德阿萨德阿斯的
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
简单地隐藏驱动分析
liujiayu2的专栏
06-30 1365
当系统加载一个驱动时,会为这个驱动建立一个_KLDR_DATA_TABLE_ENTRY结构体,DRIVER_OBJECT结构体的DriverSection成员指向这个结构体。以下是WRK中_KLDR_DATA_TABLE_ENTRY结构体的定义: typedef struct _KLDR_DATA_TABLE_ENTRY {     LIST_ENTRY InLoadOrderLinks;
驱动隐藏模块
最新发布
qq_45844442的博客
04-22 525
以下代码为驱动隐藏代码,代码比较简单,只需要修改一下PsCreateSystemThread函数最后一个成员,改为自己的驱动名称就可以了(注意不加后缀),这份代码与很多网上的相似,但是当我用网上的代码运行时各种蓝屏,不是少写了个取地址就是IoDriverObjectType没有声明为指针的指针,于是修复了他们写的bug。
驱动开发:断链隐藏驱动程序自身
热门推荐
CSDN
10-14 1万+
与断链隐藏进程功能类似,关于断链进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,断链隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
隐藏驱动模块(源码)
liujiayu2的专栏
06-16 2934
XP亲测有效,使用我们自己编写的枚举驱动模块会看不到。枚举驱动模块请看文章 http://blog.csdn.net/liujiayu2/article/details/72822478 但是使用ARK工具依然能看到我们隐藏驱动某块,比如kernel detective 和PChunter 但是隐藏驱动模块为红色,意为ARK工具检测到了该模块进行了隐藏 #include
R0隐藏驱动模块代码
编程论坛
08-20 2448
BOOLEAN ValidateUnicodeString(PUNICODE_STRING usStr) { ULONG i; __try { if (!MmIsAddressValid(usStr)) { return FALSE; } if (usStr->Buffer...
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 775
隐藏任意内核驱动
Xuetr入门指南:系统回调与内核编程核心技术解析
本文是一篇关于Xuetr使用的详尽指南,主要介绍了系统回调、回调函数的概念及其在不同场景下的应用。系统回调是编程中的一个重要概念,它允许开发者编写函数并将其交给系统管理,当特定事件或条件满足时,系统自动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值