隐藏内核模块的方法

最新推荐文章于 2023-10-08 23:02:54 发布
最新推荐文章于 2023-10-08 23:02:54 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: string object null module
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2599895
版权 
 
 
 

  
  
  在rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:
 
 
 

 
 
 

  
  
  /******************************************************************************
**
** 
The following routines implement hide driver by removing module from 
** 
driver objects and device 
objects
**
*******************************************************************************/
void 
RemoveModuleFromDriverObjects(void)
{
 POBJECT_TYPE 
DriverType=*IoDriverObjectType;
 PLIST_ENTRY 
e_prev,e_next,entry0,entry1;
 PDRIVER_OBJECT obj;
 PUNICODE_STRING 
punistrDriverName;
 PANSI_STRING pstrDriverName;
 NTSTATUS 
ntStatus;
 ULONG 
d_size;
 
 
 entry0=DriverType->ObjectListHead.Flink;
 entry1=entry0;
 punistrDriverName=(PUNICODE_STRING) 
ExAllocatePool(PagedPool, sizeof(UNICODE_STRING)+(sizeof(WCHAR)*1024));
 if 
(punistrDriverName == NULL)
 {
  DbgPrint("llroot-->punistrDriverName
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【原创】Magisk Root隐藏模块 Shamiko安装
拉灯的小手的博客
07-13 5772
Magisk 刷入流程可参考之前文章,此文不在赘述 google nexus5x 刷机抓包逆向环境配置(一) google nexus5x 刷机抓包逆向环境配置(二) google nexus5x 刷机抓包逆向环境配置(三)1.下载Shamiko并上传至手机目录:adb push Shamiko-v0.5.1-115-release.zip /sdcard/ 2.Magisk的模块功能中使用本地安装刷入Shamiko 3.Magisk的设置中关闭遵守排除列表 4.回到模块功能此时Shamiko中显示Sh
隐藏内核模块
weixin_33744854的博客
06-12 502
四、隐藏内核模块 对于内核模块,我原以为IS会通过获取内核变量PsLoadedModuleList,然后在通过这个来遍历所有的内核模块。假设此时获得结果1。通过调用函数NtQuerySystemInformation,参数SystemModuleInformation,假设此时获得结果2。再把结果1与结果2进行比较,这样就会发现被隐藏模块。但事实证明我想的太复杂...
模块隐藏
diheqiu3577的博客
07-07 331
1.模块隐藏之断链   TEB它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB.             MOV eax,fs:[0]    2.  PEB存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB;             MOV eax,fs:[0x30]             mov ...
纯小白从0开始root小米手机(MIUI14)及隐藏root使用银行app
热门推荐
amatch的博客
10-08 1万+
本教程适用于纯小白,过程详细,中间的很多内容都参考了网上大神的文章,本人使用的是红米Note12T Pro,MIUI 14.0.6正式版,一次成功root。root大致分为两部,第一步解BL锁,这一步可能会清空手机资料(实际遇到了),因此需要备份。第二步root,这一步需要下载很多内容,包括系统,root所需app,隐藏root所需插件等。
模块枚举(枚举隐藏模块
huanongying131的博客
06-21 1514
转:https://www.cnblogs.com/xiaojinma/archive/2012/12/06/2805399.html
驱动模块隐藏源码.rar
09-25
驱动EnumHide可能是一种实现隐藏驱动的方法,可能涉及到枚举系统中的驱动,并对特定驱动进行隐藏处理。这可能需要对Windows的驱动枚举机制有深入了解,比如如何遍历设备栈,如何识别和操作目标驱动,以及如何在不...
Windows内核驱动EPROCESS遍历进程模块
12-14
这些模块可能包含操作系统组件、应用程序依赖项或者恶意软件可能加载的隐藏模块。 遍历EPROCESS的过程大致分为以下几步: 1. **获取进程列表**:首先,你需要获取系统中的所有进程。这可以通过遍历全局的进程链表...
HideDriver.zip_HideDriver_模块隐藏_驱动隐藏
09-21
"模块隐藏"是指在操作系统中使某个驱动程序模块不被常规方法检测到,通常通过修改驱动程序的属性或者利用系统内核机制来实现。这种技术可以提高系统的安全性,防止恶意软件利用驱动程序漏洞进行攻击。驱动隐藏则...
隐藏进程模块
07-14
隐藏进程的方法有很多种,包括但不限于修改系统注册表、利用内核级别的驱动程序、篡改进程列表等。在易语言中,开发者可以编写特定的模块,通过系统调用来实现进程的隐藏。 "强力杀进程"可能是指一种功能,能够强制...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
本文将深入探讨标题“MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏”所涉及的知识点,包括PEB(Process Environment Block)、PEB模块隐藏、VAD(Virtual Address Descriptor)以及进程隐藏技术。 首先,PEB...
隐秘安卓免ROOT隐藏任何软件
12-19
隐秘app无需ROOT权限,隐藏你的应用!隐藏陌陌,隐藏微信等 隐秘app可以帮助您隐藏手机里的应用程序,在您的应用隐藏后,应用程序将不会显示在桌面、最近使用、系统设置应用管理等您经常查看应用的地方。同时隐秘还提供多种应用双开,图片隐藏等多种隐私保护方式。
linux2.4内核模块隐藏,Linux环境下的高级隐藏技术
weixin_33040687的博客
04-29 514
摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨论Linux系统中文件、进程及模块的高级隐藏技术,这些技术...
隐藏DLL模块
weixin_30649859的博客
12-07 150
1. 数据类型 LIST_ENTRY说明:内核使用该结构将所有对象维护在一个双向链表中。一个对象分属多个链表是很常见的, Flink 成员是一个向前链接指向下一个 LIST_ENTRY 结构, Blink 成员则是一个向后链接,指向前一个 LIST_ENTRY 结构。通常情况下,这些链表都成环形,也就是说,最后一个 Flink 指向链表中的第一个 LIST_ENTRY 结构,而第一个 Blink ...
delphi LDR断链 隐藏DLL
Shirley068的博客
08-16 501
unit UHideModule; interface uses windows; type UNICODE_STRING = packed record Len:Cardinal; Max:Cardinal; Buffer:PWideChar end; PLIST_ENTRY = ^LIST_ENTRY; LIST_ENTRY = Packed r...
Linux 驱动开发之内核模块开发(四)—— 符号表的导出
知秋一叶
03-09 5201
Linux内核头文件提供了一个方便的方法用来管理符号的对模块外部的可见性,因此减少了命名空间的污染(命名空间的名称可能会与内核其他地方定义的名称冲突),并且适当信息隐藏。 如果你的模块需要输出符号给其他模块使用,应当使用下面的宏定义: EXPORT_SYMBOL(name); EXPORT_SYMBOL_GPL(name);   //只适用于包含GPL许可权的模块;      这两个宏均用于
DockManager实现模块自动隐藏
qlshuang的专栏
10-30 2454
dockManager实现自动隐藏效果
抓住被恶意隐藏的Linux内核模块
Netfilter
05-11 5455
前面的文章介绍了一种相对彻底的隐藏Linux内核模块方法: https://blog.csdn.net/dog250/article/details/106023941 总结下来就是: 摘除list,使得/proc/modules中不可见。 摘除kobject,使得/sys/modules/中不可见。 摘除depend on,使得依赖模块的/sys/modules/$(depended)/holder/中不可见。 摘除vmap area list/rbtree,使得/proc/vmallocinfo中不
Casper-fs:一款功能强大的自定义隐藏Linux内核模块生成器
阿道夫的博客
01-29 322
针对lsmod的casper-fs模块可见操作密码为“Shazam”;将casper-fs改为不可见的操作密码为“AbraKadabra”;将敏感文件隐藏的操作密码为“Alakazam”,改为显示的操作密码也是“Alakazam”;文件的保护和解保护操作密码为“Sesame”;
Linux驱动和内核模块编程.ppt
最新发布
10-27
"Linux驱动和内核模块编程"是一门研究Linux设备驱动程序的基础知识和Linux驱动模块构造、装载方法的课程。本课程分为多个章节,其中包括设备驱动程序简介、Linux驱动程序概述、Hello World内核模块内核模块的特点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值