驱动黑名单实现

最新推荐文章于 2024-01-04 23:30:14 发布
最新推荐文章于 2024-01-04 23:30:14 发布
阅读量606 收藏
点赞数
分类专栏: Windows 文章标签: 驱动黑名单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/103902145
版权

一、 基本思想
(1)检测某些名称的驱动是否存在,这一部分有个黑名单
(2)检测驱动中部分代码的特征是否匹配,这一部分用另外一个黑名单
每一个驱动都要经过以上两重检查,具体的算法实现就是计算驱动名称或部分代码的Hash值,然后在黑名单中进行匹配。
所以,你看不到任何敏感的字符串。具体的Hash算法就是变形的CRC32,如下:

ULONG GetStringCRCHash(BYTE *Str, int Length)
{
ULONG crc=0;
int i=0;
for (i=0;i<Length;i++)
{
   crc = (Str[i] | (crc << 8)) ^( crc_32_tab[crc >> 24]);
}
return crc;
}

crc_32_tab就是标准CRC32算法所使用的那个表。

二、驱动名称黑名单
当驱动加载时,枚举系统所有已加载的模块(遍历PsLoadedModuleList和遍历\Driver对象目录两种方式,以及在LoadImageNotify中检测到有驱动加载时),获取驱动模块的名称。
根据名称计算时,传入的参数就是驱动模块名称和长度,比如像这样:
HashValue=GetStringCRCHash("IsDrv122.sys",strlen("IsDrv122.sys"));

三、驱动特征黑名单
枚举所有驱动,取驱动中某个固定偏移处的一段代码,用上面提到的Hash算法计算其Hash值,然后在黑名单中匹配。

特征的每一项是一个0x10大小的结构,如下:
 

typedef struct _HASH_INFO{
ULONG Offset;
ULONG HashValue;
WORD   EndLen;
WORD   HashLen;
ULONG Unknow1;
}HASH_INFO,*PHASH_INFO;

就是说,从驱动基址开始偏移Offset处,取长度为HashLen的代码计算其Hash,检查计算结果是否与HashValue匹配。

HashLen与EndLen相等的是精确匹配,就是说确定了就是Offset开始处长度为HashLen的代码的Hash
HashLen与EndLen不相等的是模糊匹配,表示从OffSet开始在一定范围内每次取HashLen长度的代码计算其Hash值
每一个驱动都要分别与这41个黑名单进行匹配,直至找到相匹配的特征项,都没有匹配到,当然就认为是没有非法模块啦~~

四、如何Anti这种检测?
方法一:涂抹黑名单中的Hash值
随便改成其它值,它计算完当然就匹配不到了,但是想找到黑名单不是太通用,毕竟特征不够明显

方法二:涂抹CRC32_Table
前面说了,这个表就是标准CRC32算法所使用的那张表,所以匹配起来特别容易~~
我们可以涂抹这张表,这样它永远无法计算出正确的Hash,所有的黑名单也就失去意义了,哈哈~~

 

 

 

liuhaidon1992
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核黑名单,如何将内核模块列入黑名单
weixin_42519489的博客
05-01 3179
问题描述如何禁用加载不必要的内核模块。内核3.2.4最佳解决办法Note: blacklisting will not work for modules which are built into the kernel image (i.e. not loaded via a separate .ko file. The only way to disable such modules is via...
某游戏保护驱动驱动黑名单的具体实现
weixin_34199405的博客
03-20 95
某游戏的保护系统会检测一些ARK软件的存在,因为ARK的恢复HOOK等功能会对游戏的保护驱动造成一些影响。因此,在该游戏的驱动中内置了一些ARK驱动(也可能有其它类型驱动)的特征黑名单,用以检测这些驱动是否存在,若存在就会提示非法模块,要求重启后方可正常进行游戏。无意中发现了一点线索,索×××了一下该驱动驱动黑名单的具体实现~~ 一、 基本思想 (1)检测某些名称的驱...
通过blacklist来禁用驱动
weixin_30701521的博客
07-31 1050
blacklist黑名单 我们在linux中安装驱动,有时会遇到受限或冲突,通常解决方式都是要修改blacklist.conf.对内核模块来说,黑名单是指禁止某个模块装入的机制 在 /etc/modprobe.d/ 中创建 .conf 文件,使用 blacklist 关键字屏蔽不需要的模块,例如如果不想装入 igbvf模块: /etc/modprobe.d/blacklist.co...
linux驱动黑名单内核参数,linux驱动--传递参数给驱动
weixin_36252618的博客
04-30 213
1需要办的头文件头文件在“include/linux/moduleparam.h”2函数说明2.1 内核模块可以通过module_param来传单个参数– module_param(name,type,perm)– name:模块参数的名称– type: 模块参数的数据类型(支持int long short uint ulong ushort类型)– perm: 模块参数的访问权限(S_IRUSR...
Linux 常用指令
叶海
09-19 670
注:所有 都不需要输入。
易语言加网站黑名单
07-16
在"易语言加网站黑名单"这个主题中,我们主要探讨的是如何使用易语言来编写程序,实现对特定网站的访问限制,即创建一个网站黑名单功能。 首先,我们需要了解易语言的基本语法和结构。易语言的核心理念是“易学易用...
易语言源码易语言加网站黑名单源码.rar
03-30
本压缩包文件"易语言源码易语言加网站黑名单源码.rar"包含的是使用易语言编写的一个程序,该程序的功能是添加和管理网站黑名单,以实现对特定网站的访问限制。 源码是程序开发的核心部分,通过阅读和理解源码,我们...
Pihole-blocklists:收集不同的黑名单
04-20
Pi-hole 使用 DNS 解析机制来实现这一点,当设备尝试访问被黑名单列出的地址时,Pi-hole 会阻止这个请求,而不是让设备与这些潜在危险的源头进行通信。 由于没有具体的标签信息,我们可以推测这个项目可能是社区...
QQ黑名单发布V 1.2正式版-轻松屏蔽指定的QQ号在本机登陆采用驱动级进程保护
09-19
QQ黑名单采用驱动级进程保护意味着,它在操作系统底层进行拦截和控制,当试图登录的QQ号码与黑名单匹配时,软件能够在QQ登录进程启动前进行阻止,使得被屏蔽的QQ账号无法绕过软件的防护措施。 至于“进程保护”,这...
ROS 实现QQ黑白名单(全自动)脚本
10-26
通过ROS,这个脚本可以与其他ROS节点集成,实现更复杂的自动化流程,比如当接收到特定消息时自动添加用户到黑名单。 总之,这个ROS脚本巧妙地将机器人技术与社交软件功能结合,展示了ROS在非传统领域的应用潜力。...
Linux服务器上的黑名单
11-22
一 环境配置 二.C API 连接数据库 三Tcp IP传输
Linux安装Nvidia显卡驱动:禁用The Nouveau kernel driver的方法!
weixin_34366546的博客
06-19 273
系统:Red Hat Enterprise 6(32位) 显卡:Nvidia Gforce 7300GT 将驱动从Nvidia官网下载回来后 进入文本模式直接运行安装,发现提示如下错误: 错误日志如下: nvidia-installer log file '/var/log/nvidia-installe...
干掉Nouveau安装Linux Nvidia显卡驱动
热门推荐
misiter的专栏
06-11 8万+
干掉Nouveau安装Linux Nvidia显卡驱动   首先说明下什么是Nouveau,为什么有些系统安装N卡驱动的时候会提示“ERROR: The Nouveau kernel driver is currently in use by your system. This   driver is incompatible with the NVIDIA driver……”之类
5600U PVE安装WIN10后直通核显
最新发布
会飞的程序猿的博客
01-04 4041
修改PVE系统配置请先安装相同版本的PVE系统,其他版本如果存在问题请自行查找。安装过程比较简单,具体方法请自行百度1. 修改grub启动参数:修改文件 /etc/default/grub 中 GRUB_CMDLINE_LINUX_DEFAULT 配置:其中必须添加的:iommu=pt 设置iommu为直通模式pass throughinitcall_blacklist=sysfb_init 屏蔽掉pve7.2的一个bug。
cpu功耗排行_常见NAS CPU处理器性能排行榜(简单天梯图)
weixin_39618173的博客
12-21 6万+
常见NAS CPU处理器性能排行榜百度找到的。 仅仅是性能对比,实际选购还需要考虑到功耗,价格,外观,静音,稳定,sata数,尺寸,内存跟硬盘等支持情况,是否支持4K硬解(HTPC)等。仅供参考。主要是对市面上较热门的 D525 N3150 1037U J3160 N3700 J1900 E3-1220L J3455 J4205 J4105 Gx-424CC等CPU作一个简单的评比其它推荐:...
Ubuntu 16.04安装Nvidia显卡驱动:在安装N卡驱动的过程中,我遇到了不少问题,例如安装后会出现循环登录问题,以及登录后桌面显示不完整(启动器消失,任务栏消失),打不开系统设置等问题。
zack_liu的博客
11-13 2026
Ubuntu 16.04安装Nvidia显卡驱动:在安装N卡驱动的过程中,我遇到了不少问题,例如安装后会出现循环登录问题,以及登录后桌面显示不完整(启动器消失,任务栏消失),打不开系统设置等问题。出现以上问题的原因是使用了错误的方法和步骤安装N卡驱动。下面就是网上很多人介绍的一种方法,其实是有很大可能性出错的。 错误方法: 打开系统设置->选择软件&更新->选择额外驱动->将N卡驱动设置为某个
Windows(win10)添加网络黑名单方法 (禁止某个应用上网)
mowwwcom的专栏
07-29 7194
Window禁止某个应用 某个exe上网方法 第1步 搜索 防火墙 --> 打开 第2步 高级设置 第3步 出站规则 --> 新建规则 第4步 创建规则 指定要禁止上网的应用路径 最后输入自定义规则名称 --> 点击完成即可。 ...
Proxmox VE(PVE) 进行网卡直通
Johnny's Lab
12-08 7万+
文章目录我的设备介绍添加CPU支持,开启iommu查询网卡信息Intel CPUAMD CPU新增所需模块添加PCI设备命令模式添加web页面模式添加验证IOMMU有效IOMMU中断重映射查看中断重映射启用中断重映射参考 我的设备 ECS Z270H4-I E3 1235L V5 DDR4 2133 24G WD 240G SSD 介绍 PCI直通允许您在VM内部使用物理PCI设备(图形卡,网卡)(仅限KVM虚拟化)。如果您“PCI passthrough”设备,该设备将不再可用于主机。 注意:PCI
linux添加放通所有黑名单,如何在Ubuntu/Debian Linux上将模块列入黑名单
weixin_31746993的博客
05-10 455
目的目的是将加载的选定模块列入黑名单。操作系统和软件版本操作系统:-Debian,Ubuntu,薄荷要求以root或通过特权访问Ubuntu系统sudo命令是必需的。困难简单约定#-要求给出linux命令可以直接以root用户身份或通过使用root特权以root特权执行sudo命令$-给linux命令以普通非特权用户身份执行使用说明可能有时候需要在系统启动期间禁止加载某些模块。在此”how to”...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值