隐藏文件和进程的驱动代码

最新推荐文章于 2017-06-16 12:56:55 发布
最新推荐文章于 2017-06-16 12:56:55 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: integer struct system file string function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2298538
版权
本文详细介绍了如何在Windows操作系统中编写驱动程序,实现对文件和进程的隐藏功能。通过使用内核级操作,结合整型变量、结构体、系统调用、字符串和函数的应用,达到系统级别的隐蔽效果。
摘要由CSDN通过智能技术生成
// ***************************************************************
//  bhhidef   version:  1.0   ? date: 10/11/2007
//  -------------------------------------------------------------
//  
//  author  :virvir
//  -------------------------------------------------------------
//  msn     :dupchina@yahoo.com.cn
//  QQ      : 414947531
//  web     :www.virvir.cn
//  -------------------------------------------------------------
//  Copyright (C) 2007 - All Rights Reserved
// ***************************************************************

#include "ntddk.h"
#include "stdarg.h"
#include "stdio.h"
#include "ntiologc.h"
/************************************************************************/
/*             pre-defines                                              */
/************************************************************************/       
#define DWORD unsigned long
#define WORD unsigned short
#define BOOL unsigned long

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
        unsigned int *ServiceTableBase;
        unsigned int *ServiceCounterTableBase;
        unsigned int NumberOfServices;
        unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport)  ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
#define SYSTEMSERVICE(_function)  KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]

/*
* Length of process name (rounded up to next DWORD)
*/
#define PROCNAMELEN     20

/*
* Maximum length of NT process name
*/
#define NT_PROCNAMELEN  16

#define FileIdFullDirectoryInformation 38
#define FileIdBothDirectoryInformation 37



/************************************************************************/
/* structs                                                             */
/************************************************************************/
struct _SYSTEM_THREADS
{
        LARGE_INTEGER           KernelTime;
        LARGE_INTEGER           UserTime;
        LARGE_INTEGER           CreateTime;
        ULONG                           WaitTime;
        PVOID                           StartAddress;
        CLIENT_ID                       ClientIs;
        KPRIORITY                       Priority;
        KPRIORITY                       BasePriority;
        ULONG                           ContextSwitchCount;
        ULONG                           ThreadState;
        KWAIT_REASON            WaitReason;
};

struct _SYSTEM_PROCESSES
{
        ULONG                           NextEntryDelta;
        ULONG                           ThreadCount;
        ULONG                           Reserved[6];
        LARGE_INTEGER           CreateTime;
        LARGE_INTEGER           UserTime;
        LARGE_INTEGER           KernelTime;
        UNICODE_STRING          ProcessName;
        KPRIORITY                       BasePriority;
        ULONG                           ProcessId;
        ULONG                           InheritedFromProcessId;
        ULONG                           HandleCount;
        ULONG                           Reserved2[2];
        VM_COUNTERS                     VmCounters;
        IO_COUNTERS                     IoCounters; //windows 2000 only
        struct _SYSTEM_THREADS          Threads[1];
};

struct _SYSTEM_PROCESSOR_TIMES
{
                LARGE_INTEGER                                        IdleTime;
                LARGE_INTEGER                                        KernelTime;
                LARGE_INTEGER                                        UserTime;
                LARGE_INTEGER                                        DpcTime;
                LARGE_INTEGER                                        InterruptTime;
                ULONG                                                        InterruptCount;
};

typedef struct _FILE_DIRECTORY_INFORMATION {
    ULONG NextEntryOffset;
    ULONG FileIndex;
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    LARGE_INTEGER EndOfFile;
    LARGE_INTEGER AllocationSize;
    ULONG FileAttributes;
    ULONG FileNameLength;
    WCHAR FileName[1];
} FILE_DIRECTORY_INFORMATION, *PFILE_DIRECTORY_INFORMATION;

typedef struct _FILE_FULL_DIR_INFORMATION {
    ULONG NextEntryOffset;
    ULONG FileIndex;
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    LARGE_INTEGER EndOfFile;
    LARGE_INTEGER AllocationSize;
    ULONG FileAttributes;
    ULONG FileNameLength;
    ULONG EaSize;
    WCHAR FileName[1];
} FILE_FULL_DIR_INFORMATION, *PFILE_FULL_DIR_INFORMATION;

typedef struct _FILE_ID_FULL_DIR_INFORMATION {
    ULONG NextEntryOffset;
    ULONG FileIndex;
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    LARGE_INTEGER EndOfFile;
    LARGE_INTEGER AllocationSize;
    ULONG FileAttributes;
    ULONG FileNameLength;
    ULONG EaSize;
    LARGE_INTEGER FileId;
    WCHAR FileName[1];
} FILE_ID_FULL_DIR_INFORMATION, *PFILE_ID_FULL_DIR_INFORMATION;

typedef struct _FILE_BOTH_DIR_INFORMATION {
    ULONG NextEntryOffset;
    ULONG FileIndex;
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    LARGE_INTEGER EndOfFile;
    LARGE_INTEGER AllocationSize;
    ULONG FileAttributes;
    ULONG FileNameLength;
    ULONG EaSize;
    CCHAR ShortNameLength;
    WCHAR ShortName[12];
    WCHAR FileName[1];
} FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;

typedef struct _FILE_ID_BOTH_DIR_INFORMATION {
    ULONG NextEntryOffset;
    ULONG FileIndex; <
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动级别隐藏进程代码
06-09
之前在csdn下载代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程代码2)
BASIC ROOTKIT that hides files, directories, and processes
02-01 1071
// BASIC ROOTKIT that hides files, directories, and processes// ----------------------------------------------------------// v0.1 - Initial, Greg Hoglund (hoglund@rootkit.com)// v0.2 - DirEntry struct
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
驱动隐藏进程源码
12-26
驱动隐藏进程,vs2008编译,仅供参考
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
驱动级的隐藏进程代码通常被设计成一个设备驱动,这样它可以访问到操作系统的核心结构和功能。 System Service Dispatch Table (SSDT)是Windows操作系统中的一个重要数据结构,它存储了系统服务函数的入口点。系统...
进程文件隐藏驱动程序源码
01-13
**文件名列表:驱动隐藏文件进程** 这个文件名很可能包含一个或多个驱动程序源代码,这些源代码实现了上述的进程文件隐藏功能。源码可能包含了如何创建内核驱动,如何Hook SSDT,以及如何处理隐藏进程文件的...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
通过驱动,可以在系统层面上隐藏进程,使其不被常规的进程枚举函数如`EnumProcesses`和`OpenProcess`发现。 在压缩包内的"R3.cpp"文件,很可能是实现以上技术的源代码。通过阅读和分析这个文件,我们可以学习到如何...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
在IT领域,尤其是在系统安全和恶意软件分析中,"ring0驱动层上实现隐藏进程"是一种高级技术,它涉及到操作系统内核级别的编程。Ring0是CPU执行级别中的最高权限级别,通常只允许操作系统核心和设备驱动程序访问。...
hideprocess隐藏进程驱动代码
01-25
hideprocess隐藏进程驱动代码,cpp文件
易语言驱动隐藏进程源码-易语言
06-12
易语言驱动隐藏进程源码
ring0驱动隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
ring0驱动隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
驱动模块隐藏源码.rar
09-25
源码,驱动源码,不是sys成品文件,而是sys驱动文件代码,非常适合参考学习 是x64的,隐藏指定驱动sys,不被检测
驱动隐藏进程文件
09-21
强大的驱动进程隐藏技术,有应用层的相关调用以及GUI,是学习驱动程序的好资料
Win64 驱动内核编程-21.DKOM隐藏和保护进程
热门推荐
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
隐藏进程代码
sghgcn的专栏
10-21 1998
文件部分// HideProcessDlg.h : header file//#if !defined(AFX_HIDEPROCESSDLG_H__301541E9_18DE_4FD1_8DCF_34DAE454D575__INCLUDED_)#define AFX_HIDEPROCESSDLG_H__301541E9_18DE_4FD1_8DCF_34DAE454D575__INCLU
内核隐藏进程源码
liujiayu2的专栏
06-16 2676
自己测试的时候编译失败了,提示是这个PsGetProcessImageFileName API找不到链接库,目测可能是我的DDK版本不够新,先记录下,改天再升级ddk做测试。 #include    #include    #include       NTKERNELAPI UCHAR *PsGetProcessImageFileName(PEPROCESS Pro
实现进程隐藏(完整源代码
To be, or not to be: that is the question
01-07 2747
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
Linux驱动程序开发详解
“Linux驱动程序开发概述,包括驱动程序的基本概念、...无论是字符设备、块设备还是网络设备,驱动程序开发者都需要具备扎实的编程基础,以编写出高效、稳定且易于维护的驱动代码,确保系统能有效地与硬件进行通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值