推荐开源项目:Driver_Hide_And_Camouflage - 驱动隐藏与伪装的艺术

于 2024-05-30 09:33:15 发布
阅读量387 收藏 6
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00029/article/details/139312170
版权

推荐开源项目:Driver_Hide_And_Camouflage - 驱动隐藏与伪装的艺术

在信息安全领域,驱动程序的隐蔽性和安全性至关重要。而今天我们要介绍的开源项目 [Driver_Hide_And_Camouflage](https://github.com/IcEy-999/Drv_Hide_And_Camouflage),是一个独特且创新的解决方案,它能帮助你实现驱动程序的高效隐藏和伪装,从而避开防护系统的检测。

1、项目介绍

Driver_Hide_And_Camouflage 是一个专为Windows系统设计的工具,它利用了大量未导出的Windows内核函数,可以让你加载的驱动程序在不被察觉的情况下运行。该项目已在Windows 10和Windows 11上经过超过40小时的测试,证明其在应对Patchguard等安全机制时具有极高的隐蔽性。

2、项目技术分析

项目的核心在于Kernel_PDB.c中的InitAllOffSet()函数,这是一部巧妙的操作,使得驱动能在被加载的同时避免被识别。通过修改这个函数,开发者能够创建一种看似无害的环境,让目标驱动得以隐蔽或伪装成其他已知的驱动,如360AntiHacker64.sys或EasyAntiCheat.sys。

3、项目及技术应用场景

对于需要保护的驱动程序或者希望进行隐秘操作的开发者而言,此项目有着广泛的应用场景:

  • 反恶意软件研究:模拟病毒或黑客行为,测试防病毒软件的检测效率。
  • 安全测试:检验操作系统和应用的安全控制是否有效。
  • 隐私保护:隐藏特定驱动以避免数据被监控。
  • 开发调试:在非公开环境中测试新驱动功能,减少被误报的可能性。

4、项目特点

  • 高度隐蔽:利用未导出的Windows内核函数,长时间运行而不被Patchguard等安全机制发现。
  • 伪装能力强:可将自定义驱动伪装成知名驱动,逃避常规安全检查。
  • 兼容性强:已在Windows 10和Windows 11系统上充分测试,兼容性良好。
  • 灵活性高:可根据需求调整驱动的隐藏方式和伪装对象。

如果你是系统开发者、安全研究人员或是对驱动隐藏技术感兴趣的爱好者,Driver_Hide_And_Camouflage绝对值得你深入了解和尝试。立即前往GitHub仓库获取项目源码,探索这个领域的无限可能吧!

缪昱锨Hunter
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
驱动保护隐藏.ec
08-08
易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .子程序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某程序,并保护程序不被注入,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等程序,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .子程序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .子程序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64位WIn7,与所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .子程序 置格盘陷阱, 逻辑型, 公开 .子程序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .子程序 置死机陷阱, 逻辑型, 公开 .子程序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
隐藏进程(源代码)
06-22
隐藏进程(源代码)
驱动开发:内核无痕隐藏自身分析
最新发布
CSDN
10-24 2万+
在笔者前面有一篇文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
隐藏驱动模块(源码)
liujiayu2的专栏
06-16 2918
XP亲测有效,使用我们自己编写的枚举驱动模块会看不到。枚举驱动模块请看文章 http://blog.csdn.net/liujiayu2/article/details/72822478 但是使用ARK工具依然能看到我们隐藏驱动某块,比如kernel detective 和PChunter 但是隐藏驱动模块为红色,意为ARK工具检测到了该模块进行了隐藏 #include
驱动开发:断链隐藏驱动程序自身
CSDN
10-14 1万+
与断链隐藏进程功能类似,关于断链进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,断链隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
StrongOD:StrongOD(反调试插件)驱动程序源代码-windows source code
03-25
强OD StrongOD是ollydbg调试器的强大插件,它可以抵抗各种调试器检测技术。 这是StrongOD驱动程序的源代码,我几年前已将其反转,有关更多信息,请访问: : 。 原谅我不是很好的编码风格。 实际上,您可以将此驱动程序与任何Windows调试器结合使用,您所需要做的就是编写一个调试器插件来调用此驱动程序提供的接口。
驱动隐藏进程源码
12-26
驱动隐藏进程,vs2008编译,仅供参考
Design-of-Camouflage-Pattern.zip_C#编程_matlab_
08-11
在本项目中,"Design-of-Camouflage-Pattern.zip" 是一个包含关于设计不同环境下的数码迷彩图案的资源文件。这个压缩包主要涉及到两个关键技术领域:C#编程和MATLAB。C#是一种广泛应用于软件开发,尤其是游戏开发和...
开源项目-rahulwa-camouflage.zip
09-03
开源项目-rahulwa-camouflage.zip,An HTTP proxy server package on the top of elazarl/goproxy.
Tab Camouflage - 标签页伪装-crx插件
04-05
语言:中文 (简体) 自定义Tab标题 / icon,伪装标签页,从此摸:fish:告别老板键 自定义Tab标题 / icon,伪装标签页GitHub:https://github.com/nismison
实现程序在驱动层面的保护;一份用于隐藏进程及其线程的rootkit驱动程序源代码.
12-22
实现程序在驱动层面的保护;分享一份用于隐藏进程及其线程的rootkit驱动程序源代码.
驱动级别隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程源代码2)
易语言驱动保护进程源码
08-17
易语言驱动进程隐藏保护源码 转发开源 送给需要的人 仅供参考
易语言驱动级进程信息伪装源码 只支持 64位系统
06-06
易语言驱动级进程信息伪装源码 只支持 64位系统。@莫爱。
驱动模块隐藏源码.rar
09-25
源码,驱动源码,不是sys成品文件,而是sys驱动文件源代码,非常适合参考学习 是x64的,隐藏指定驱动sys,不被检测
camouflage:功能齐全的开源BRM / BPM / CMS堆栈-开源
04-26
伪装是使用工业强度开源产品的功能齐全的开源BRM / BPM / CMS堆栈。 该项目基于JBoss 7,Camunda BPM Engine,Liferay Portal Server和Drools。
free_file_camouflage
09-14
有时候你有一些小秘密不想让别人知道,比如列在Excel文件中的个人愿望表、家庭开支表等,这时可以将这个表格文件写入到图片中将它隐藏起来。网上有不少关于将文件写入图片的程序,但是总觉得缺少一点点其它保护。 ...
R0隐藏驱动模块代码
编程论坛
08-20 2397
BOOLEAN ValidateUnicodeString(PUNICODE_STRING usStr) { ULONG i; __try { if (!MmIsAddressValid(usStr)) { return FALSE; } if (usStr->Buffer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

缪昱锨Hunter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值