通过驱动断链来隐藏驱动

最新推荐文章于 2023-11-18 08:45:22 发布
最新推荐文章于 2023-11-18 08:45:22 发布
阅读量2.7k 收藏 16
点赞数 3
分类专栏: Windows 文章标签: 安全 驱动 Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/118676992
版权

隐藏指定驱动在这里插入图片描述

尝试隐藏这个驱动

#include <ntifs.h>

typedef struct _KLDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY exp;
	ULONG un;
	ULONG NonPagedDebugInfo;
	ULONG DllBase;
	ULONG EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT __Undefined5;
	ULONG  __Undefined6;
	ULONG  CheckSum;
	ULONG  TimeDateStamp;
} KLDR_DATA_TABLE_ENTRY, * PKLDR_DATA_TABLE_ENTRY;
/*kd> dt _LDR_DATA_TABLE_ENTRY
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中,形成一个双链表,本驱动的驱动对象就是一个节点
   +0x008 InMemoryOrderLinks : _LIST_ENTRY//系统已经启动 没有被初始化 没有调用DriverEntry这个历程的时候 通过这个链表进程串接起来
   +0x010 InInitializationOrderLinks : _LIST_ENTRY//已经调用DriverEntry这个函数的所有驱动程序
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void//驱动的进入点
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING//驱动的全路径
   +0x02c BaseDllName      : _UNICODE_STRING//不带路径的驱动名字
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 _ACTIVATION_CONTEXT
   +0x04c PatchInformation : Ptr32 Void
   +0x050 ForwarderLinks   : _LIST_ENTRY
   +0x058 ServiceTagLinks  : _LIST_ENTRY
   +0x060 StaticLinks      : _LIST_ENTRY
   +0x068 ContextInformation : Ptr32 Void
   +0x06c OriginalBase     : Uint4B
   +0x070 LoadTime         : _LARGE_INTEGER
*/

NTKERNELAPI NTSTATUS ObReferenceObjectByName(
	__in PUNICODE_STRING ObjectName,
	__in ULONG Attributes,
	__in_opt PACCESS_STATE AccessState,// 访问权限可以写0 写0完全访问不受控制FILE_ALL_ACCESS,
	__in_opt ACCESS_MASK DesiredAccess,
	__in POBJECT_TYPE ObjectType,//对象类型
	__in KPROCESSOR_MODE AccessMode,内核模式 有三种模式 enum 类型  
	__inout_opt PVOID ParseContext,
	__out PVOID* Object输出对象 我们要得到的驱动对象  
);


extern POBJECT_TYPE* IoDriverObjectType;


void DriverHide(PWCH ObjName)
{
	LARGE_INTEGER in = { 0 };
	/*typedef union _LARGE_INTEGER {
    struct {
        ULONG LowPart;
        LONG HighPart;
    } DUMMYSTRUCTNAME;
    struct {
        ULONG LowPart;
        LONG HighPart;
    } u;
    LONGLONG QuadPart;
	} LARGE_INTEGER;*/
	in.QuadPart = -10000 * 5000;
	KeDelayExecutionThread(KernelMode, FALSE, &in);//等待



	UNICODE_STRING driverName1 = { 0 };
	/*typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
	} UNICODE_STRING;*/
	RtlInitUnicodeString(&driverName1, ObjName);//传入驱动的名字
	PDRIVER_OBJECT Driver = NULL;//初始化驱动对象
	/*
	typedef struct _DRIVER_OBJECT {
		CSHORT             Type;
		CSHORT             Size;
		PDEVICE_OBJECT     DeviceObject;
		ULONG              Flags;
		PVOID              DriverStart;
		ULONG              DriverSize;
		PVOID              DriverSection;
		PDRIVER_EXTENSION  DriverExtension;
		UNICODE_STRING     DriverName;
		PUNICODE_STRING    HardwareDatabase;
		PFAST_IO_DISPATCH  FastIoDispatch;
		PDRIVER_INITIALIZE DriverInit;//IO管理器设置驱动程序的DriverEntry例程入口点。
		PDRIVER_STARTIO    DriverStartIo;
		PDRIVER_UNLOAD     DriverUnload;
		PDRIVER_DISPATCH   MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
	} DRIVER_OBJECT, *PDRIVER_OBJECT;*/
	NTSTATUS status = ObReferenceObjectByName(&driverName1, FILE_ALL_ACCESS, 0, 0, *IoDriverObjectType, KernelMode, NULL, &Driver);//通过驱动的到驱动的对象

	if (NT_SUCCESS(status))//判断
	{
		PKLDR_DATA_TABLE_ENTRY ldr = (PKLDR_DATA_TABLE_ENTRY)Driver->DriverSection;//驱动对象结构.可以解析为_LDR_DATA_TABLE_ENTRY是一个链表存储着下一个驱动对象  
		DbgPrintEx(77, 0, "[db]: driver name = %wZ\r\n", &ldr->FullDllName);//输出名字
		Driver->DriverSection = ldr->InLoadOrderLinks.Flink;
		RemoveEntryList(&ldr->InLoadOrderLinks);//去除双向链表中的值
		Driver->DriverInit = NULL;
		ObDereferenceObject(Driver);//删除刚刚的到的驱动对象
	}
	return;
}


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("END\r\n");//卸载
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)
{
	HANDLE hThread = NULL;
	NTSTATUS status = PsCreateSystemThread(&hThread, THREAD_ALL_ACCESS, NULL, NULL, NULL, DriverHide, L"\\driver\\PCHunter32as");
	/*
	NTSTATUS PsCreateSystemThread(
 	OUT PHANDLE  ThreadHandle, //新创建的线程句柄
	IN ULONG  DesiredAccess, //创建的权限
	IN POBJECT_ATTRIBUTES  ObjectAttributes  OPTIONAL,//线程的属性,一般设为NULL
	IN HANDLE  ProcessHandle  OPTIONAL,//指定创建用户线程还是系统线程。如果为NULL,则为系统进程,如果该值是一个进程句柄,则新创建的线程属于这个指定的进程。DDK提供的NTCurrentProcess可以得到当前进程的句柄。
 	OUT PCLIENT_ID  ClientId  OPTIONAL,
 	IN PKSTART_ROUTINE  StartRoutine,//新线程的运行地址
 	IN PVOID  StartContext //新线程接收的参数
  );*/
	if (NT_SUCCESS(status))
	{
		NtClose(hThread);
	}
	pDriver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}


成功隐藏

通过遍历来隐藏驱动

这个我尝试的隐藏的HTTP.sys,忘记截图了

#include <ntifs.h>

typedef struct _KLDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY exp;
	ULONG un;
	ULONG NonPagedDebugInfo;
	ULONG DllBase;
	ULONG EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT __Undefined5;
	ULONG  __Undefined6;
	ULONG  CheckSum;
	ULONG  TimeDateStamp;
} KLDR_DATA_TABLE_ENTRY, * PKLDR_DATA_TABLE_ENTRY;
/*kd> dt _LDR_DATA_TABLE_ENTRY
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中,形成一个双链表,本驱动的驱动对象就是一个节点
   +0x008 InMemoryOrderLinks : _LIST_ENTRY//系统已经启动 没有被初始化 没有调用DriverEntry这个历程的时候 通过这个链表进程串接起来
   +0x010 InInitializationOrderLinks : _LIST_ENTRY//已经调用DriverEntry这个函数的所有驱动程序
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void//驱动的进入点
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING//驱动的全路径
   +0x02c BaseDllName      : _UNICODE_STRING//不带路径的驱动名字
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 _ACTIVATION_CONTEXT
   +0x04c PatchInformation : Ptr32 Void
   +0x050 ForwarderLinks   : _LIST_ENTRY
   +0x058 ServiceTagLinks  : _LIST_ENTRY
   +0x060 StaticLinks      : _LIST_ENTRY
   +0x068 ContextInformation : Ptr32 Void
   +0x06c OriginalBase     : Uint4B
   +0x070 LoadTime         : _LARGE_INTEGER
*/

NTKERNELAPI NTSTATUS ObReferenceObjectByName(
	__in PUNICODE_STRING ObjectName,
	__in ULONG Attributes,
	__in_opt PACCESS_STATE AccessState,// 访问权限可以写0 写0完全访问不受控制FILE_ALL_ACCESS,
	__in_opt ACCESS_MASK DesiredAccess,
	__in POBJECT_TYPE ObjectType,//对象类型
	__in KPROCESSOR_MODE AccessMode,内核模式 有三种模式 enum 类型  
	__inout_opt PVOID ParseContext,
	__out PVOID* Object输出对象 我们要得到的驱动对象  
);


extern POBJECT_TYPE* IoDriverObjectType;

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("END\r\n");//卸载
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)
{

	PKLDR_DATA_TABLE_ENTRY ldr = (PKLDR_DATA_TABLE_ENTRY)pDriver->DriverSection;
	PKLDR_DATA_TABLE_ENTRY pre = (PKLDR_DATA_TABLE_ENTRY)ldr->InLoadOrderLinks.Flink;//本身的节点
	PKLDR_DATA_TABLE_ENTRY next = (PKLDR_DATA_TABLE_ENTRY)pre->InLoadOrderLinks.Flink;//下一个驱动的节点


	UNICODE_STRING driverName1 = {0};
	RtlInitUnicodeString(&driverName1, L"\\driver\\HTTP");

	UNICODE_STRING driverName = { 0 };
	RtlInitUnicodeString(&driverName, L"HTTP.sys");//获取名字

	while (next != pre)//遍历一遍
	{

		if (next->BaseDllName.Length != 0 && RtlCompareUnicodeString(&driverName, &next->BaseDllName, TRUE) == 0)//判断这个是不是空的,然后名字是否对的上
		{

			PDRIVER_OBJECT Driver = NULL;
			NTSTATUS status = ObReferenceObjectByName(&driverName1, FILE_ALL_ACCESS, 0, 0, *IoDriverObjectType, KernelMode, NULL, &Driver);//通过驱动的到驱动的对象

			if (NT_SUCCESS(status))
			{
				RemoveEntryList(&next->InLoadOrderLinks);
				Driver->DriverInit = NULL;
				Driver->DriverSection = NULL;//从双链表中去除,同时把一些其他的东西也都置0
			}
			DbgPrintEx(77, 0, "[db]:driver name = %wZ\r\n",&next->FullDllName);

			break;
		}

		next = (PKLDR_DATA_TABLE_ENTRY)next->InLoadOrderLinks.Flink;//遍历下一个
	}
	
	pDriver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}
0xwangliang
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
从进程链表中摘除指定进程
实现程序在驱动层面的保护;一份用于隐藏进程及其线程的rootkit驱动程序源代码.
12-22
实现程序在驱动层面的保护;分享一份用于隐藏进程及其线程的rootkit驱动程序源代码.
我会肾透——利用驱动隐藏后门
m0_60767986的博客
05-30 158
驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.html一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了。
HideDriver-master_HideDriver_HideDriver-master_驱动隐藏断链_隐藏驱动模块例子_源
09-11
驱动隐藏模块 断链 Windows10 1903以下不触发PG
驱动断链隐藏模块E源码
04-02
编译可用.驱动读写断链隐藏模块
驱动开发:内核无痕隐藏自身分析
热门推荐
CSDN
10-24 1万+
在笔者前面有一篇文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
驱动开发:断链隐藏驱动程序自身
CSDN
10-14 9918
断链隐藏进程功能类似,关于断链进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,断链隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
内核驱动隐藏自身【断链
WorryFree
02-08 1064
内核驱动加载时断链隐藏自身!
隐藏驱动的两种方法
08-11 3209
骤如下: 1、单击“开始”按钮,然后选择“运行”命令,打开“运行”对话框。 2、在“运行”对话框的“打开”栏中输入“REGEDIT”,然后单击“确定”按钮,启动Windows 注册表编辑器 3、在注册表编辑器左边打开HKEY_CURRENT_USER\So...
win10驱动级-隐藏进程稳定不蓝屏技术
最新发布
hzw320的博客
11-18 2520
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程。隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程的驱动
win10驱动断链隐藏进程源码
03-02
搭建好vs2019驱动环境,更改好配置,添加进源码,源码内修改好要隐藏的进程ID后可直接编译,用驱动加载工具加载就可以隐藏,我测试的15版本的不用签名,此源码仅供学习参考。
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
[驱动开发] 驱动隐藏 - driveEntry返回失败
LYSM
06-10 1295
常见隐藏驱动的方式: 驱动模块断链 调用MiProcessLoadEntry删除驱动对象(据说不会触发PG) 清理MmUnloadDriver List 和 PiDDBCacheTable两处 driveEntry返回失败 驱动模块加载后立即卸载 今天介绍一种driveEntry返回失败隐藏驱动的方法 —— DriverEntry返回失败 原理 windows会根据DriverEntry的返回值判断驱动是否加载成功。如果返回成功,会在注册表详细记录,并将sys文件复制到System32/drivers
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2456
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
驱动隐藏模块
qq_45844442的博客
04-22 413
以下代码为驱动隐藏代码,代码比较简单,只需要修改一下PsCreateSystemThread函数最后一个成员,改为自己的驱动名称就可以了(注意不加后缀),这份代码与很多网上的相似,但是当我用网上的代码运行时各种蓝屏,不是少写了个取地址就是IoDriverObjectType没有声明为指针的指针,于是修复了他们写的bug。
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 630
隐藏任意内核驱动
驱动隐藏进程(eprocess断链
qq_43147121的博客
10-01 654
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程在内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。
驱动断链 修改模块信息实现隐藏
qq_41490873的博客
04-19 618
#include "ntddk.h" HANDLE hThread; VOID DriverUnload(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动卸载成功\n"); } VOID ThreadRun( PVOID StartContext) { LARGE_INTEGER times; PDRIVER_OBJECT pDriverObje...
VAD 虚拟内存
Misaka10046的博客
04-20 3061
Windows中的虚拟地址分配 使用指令dt _EPROCESS 874ed030 观察EPROCESS结构体偏移为0x278的地方,这个地方就是系统拿来存放每个进程的虚拟地址空间的分配情况 输入!vad 874ed030+278 查看该平衡二叉树 Level是二叉树的层数 start是该块虚拟地址空间的起始地址 end为结束地址 commit为请求次数 写一段程序测试下 #include<stdio.h> #include<Windows.h> int main() {
两份框架不一样的驱动怎么通过通知链来兼容
06-13
要通过通知链来实现两份框架不一样的驱动兼容,可以采取以下步骤: 1. 在通知链中添加一个适配器,将第一份框架的驱动转换为第二份框架的驱动。适配器可以根据需要调用第一份框架的API来实现转换。 2. 在适配器中实现接口转换,将第一份框架的驱动API转换为第二份框架的API。这样第二份框架就可以正确地调用第一份框架的驱动。 3. 在通知链中将适配器插入到正确的位置,确保适配器能够正确地进行转换。这通常需要根据通知链的具体实现来确定。 通过这种方式,就可以在通知链中实现两份框架不一样的驱动兼容。需要注意的是,在实现适配器时,要确保转换的正确性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值