xp3下保护xuetr

最新推荐文章于 2023-03-09 21:29:23 发布
最新推荐文章于 2023-03-09 21:29:23 发布
阅读量306 收藏 1
点赞数
分类专栏: 内核驱动全部集合 
#ifndef _PROTECT_XUETR_H_
#define _PROTECT_XUETR_H_

#include <ntddk.h>
#include <windef.h>

#define DWORD ULONG


typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union {
		LIST_ENTRY HashLinks;
		struct {
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union {
		struct {
			ULONG TimeDateStamp;
		};
		struct {
			PVOID LoadedImports;
		};
	};
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

extern POBJECT_TYPE *IoDriverObjectType;



NTKERNELAPI
	NTSTATUS
	ObReferenceObjectByName(
	IN PUNICODE_STRING ObjectName,
	IN ULONG Attributes,
	IN PACCESS_STATE PassedAccessState OPTIONAL,
	IN ACCESS_MASK DesiredAccess OPTIONAL,
	IN POBJECT_TYPE ObjectType,
	IN KPROCESSOR_MODE AccessMode,
	IN OUT PVOID ParseContext OPTIONAL,
	OUT PVOID *Object
	);
extern
	NTKERNELAPI
	NTSTATUS
	ObReferenceObjectByHandle(
	IN HANDLE  Handle,
	IN ACCESS_MASK  DesiredAccess,
	IN POBJECT_TYPE  ObjectType  OPTIONAL,
	IN KPROCESSOR_MODE  AccessMode,
	OUT PVOID  *Object,
	OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL
	);





typedef struct _OBJECT_DIRECTORY_ENTRY
{
	PVOID pNext;
	PVOID pObject;
}OBJECT_DIRECTORY_ENTRY, *POBJECT_DIRECTORY_ENTRY;

typedef struct _OBJECT_DIRECTORY
{
	POBJECT_DIRECTORY_ENTRY pObjectDirectoryEntry[37];
	PVOID pLock;
	PVOID DeviceMap;
	ULONG SessionId;
	USHORT Reserved;
	USHORT SymbolicLinkUsageCount;
}OBJECT_DIRECTORY, *POBJECT_DIRECTORY;

typedef ULONG DWORD, *PDWORD;
typedef UCHAR BYTE, *PBYTE;
extern POBJECT_TYPE *IoDriverObjectType;

#endif

 

#include "ProtectXuetr.h"


NTSTATUS HideDriverByName(LPCSTR pDriverName)
{
	NTSTATUS Status = STATUS_SUCCESS;
	UNICODE_STRING stDriverDirectory = {0};
	OBJECT_ATTRIBUTES stObjectAttributes = {0};
	POBJECT_DIRECTORY pObjectDirectory = NULL;

	PDRIVER_OBJECT pHideDriver = NULL;

	char pDriverDirectoryName[256] = {0};
	ANSI_STRING stAnsiName = {0};
	UNICODE_STRING stUnicodeName = {0};

	//初始化一些我们需要的文本
	strncat( pDriverDirectoryName, "\\Driver\\", strlen("\\Driver\\") );
	strncat( pDriverDirectoryName, pDriverName, strlen(pDriverName) );
	RtlInitAnsiString( &stAnsiName, pDriverDirectoryName );
	RtlAnsiStringToUnicodeString(  &stUnicodeName, &stAnsiName, TRUE );
	DbgPrint("tofind %ws\r\n",stUnicodeName.Buffer);
	RtlInitUnicodeString( &stDriverDirectory, L"\\Driver" );
	InitializeObjectAttributes( &stObjectAttributes, &stDriverDirectory,
		OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE, NULL, NULL );

	//通过 \\Driver\\PCHunter32 得到驱动的目录对象 POBJECT_DIRECTORY
	Status = ObReferenceObjectByName(
		&stDriverDirectory, 
		OBJ_CASE_INSENSITIVE, 
		NULL, 
		0,
		*IoDriverObjectType, 
		KernelMode, 
		NULL, 
		&pObjectDirectory );
	if( NT_SUCCESS(Status) )
	{
		ULONG index = 0;
		BOOLEAN bFound = FALSE;
		POBJECT_DIRECTORY_ENTRY pObjectDirectoryEntry = NULL;

		//开始枚举驱动目录对象
		for( index = 0; index < 37; index++ )
		{
			PDRIVER_OBJECT pDriver = NULL;
			pObjectDirectoryEntry = pObjectDirectory->pObjectDirectoryEntry[index];
			bFound = FALSE;
			while(pObjectDirectoryEntry&&MmIsAddressValid(pObjectDirectoryEntry) )
			{
				//指向一个DriverObject
				pDriver = (PDRIVER_OBJECT)(pObjectDirectoryEntry->pObject);
				if( MmIsAddressValid(pDriver) )
				{
					//DbgPrint("%ws\r\n",pDriver->DriverName.Buffer);

					//是,找到了。
					if(wcsstr(pDriver->DriverName.Buffer,stUnicodeName.Buffer))
					{
						//设置一个标志,说明我们找到了xuetr的驱动目录对象
						bFound = TRUE;
						pHideDriver = pDriver;
						DbgPrint("found it\r\n");
						break;
					}
				}
				pObjectDirectoryEntry = pObjectDirectoryEntry->pNext;
			}
			if( bFound )
			{
				//开始摘除
				pObjectDirectory->pObjectDirectoryEntry[index] = pObjectDirectory->pObjectDirectoryEntry[index]->pNext;
			}
		}
	}
	//释放引用计数
	ObDereferenceObject( pObjectDirectory );

	//释放我们前面使用的unicode
	RtlFreeUnicodeString( &stUnicodeName );

	return Status;
}
VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
	return;
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING pRegistryString)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;

	DriverObject->DriverUnload = DriverUnload;

	//准备摘除PCHunter32的驱动对象目录
	status = HideDriverByName("PCHunter32al");
	if (NT_SUCCESS(status))
	{
		DbgPrint("Hide PCHunter32 success\r\n");
	}
	status = STATUS_UNSUCCESSFUL;
	status = HideDriverByName("XueTr");
	if (NT_SUCCESS(status))
	{
		DbgPrint("Hide XueTr success\r\n");
	}
	return STATUS_SUCCESS;
}

 

「已注销」
关注
专栏目录
[系统工具]xuetr
12-07
一个很强大的系统工具.可以强制终止垃圾进程,可以查看系统内核.我个人感觉不错.
第二十四课_遍历windows对象目录
05-18 1780
#include "ntddk.h" #define MAX_TABLE 37 #define MAX_OBJECT_COUNT 0x10000 typedef ULONG DEVICE_MAP; typedef ULONG EX_PUSH_LOCK; typedef struct _OBJECT_DIRECTORY_ENTRY{
过 DNF TP 驱动保护(一)
weixin_34032827的博客
06-09 1724
文章目录:                   01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpenThread 中的 Deep InLine Hook: 06. 干掉 NtReadVirtualMemory 中的 InLine Hook: 0...
绕过SSDT驱动保护
crkres9527
09-16 1337
       A、去掉页面保护        B、写入In Line HOOK代码        C、用OD附加测试效果        D、反HOOK代码 cr0,32位寄存器 MDL 17位CW,1开启页面保护 置0 去掉页面  not (1 shl 16)= 0FFFEFFFFh 10000000000000000 #pragma pack(1) #pragma pack()...
Xuetr杀毒工具使用实验(28)
最新发布
yyj1781572的博客
03-09 3246
XueTr 是近年推出的一款广受好评的ARK 工具。ARK 工具全称为Anti Rootkit 工具,可以理解为辅助杀毒工具,在具有一定操作系统知识后,完全可以利用该工具手动杀毒!官方网站为:http://www.xuetr.com/,新版本的XueTr 已经改名为PCHunter,目前最新版本为PCHunter V1.21 专业版,为收费版,最新的免费版为PCHunter V1.2。
XP3文件解包工具
09-12
XP3文件是游戏行业中常见的一种数据打包格式,尤其在一些早期的大型多人在线角色扮演游戏(MMORPG)中广泛使用。这种格式通常包含游戏的资源,如音频、图像、脚本和其他重要文件,为了减小存储空间并提高加载速度,...
xp3拆包工具(小白适用)
07-29
内含xp3拆包工具、操作说明,适用于非专业人士
琪琪模拟器在手机上玩xp3
04-11
(琪琪模拟器)在手机上玩.xp3的游戏 可以在安卓上面运行.xp3的游戏。
patch.xp3
03-23
patch.xp3
XueTr一个非常强大的系统辅助工具,类似于冰刃
03-29
XueTr,一个非常强大的系统辅助工具,类似于冰刃
Xuetr 使用教程
04-05
Xuetr 是 2008 年推出以来的 一款广受好评年推出以来的 一款广受好评年推出以来的 一款广受好评年推出以来的 一款广受好评年推出以来的 一款广受好评ARK ARK工具。
Xuetr0.45(暂停进程和线程运行工具)
12-14
本工具可以在2000、XP(sp1/sp2/sp3)、2003(sp1/sp2/r2)、Vista(sp1/sp2)、2008(sp2)和win7(SP1)下使用。 本工具目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
XueTrXueTr
11-25
这是一款超级强大的系统网络维护工具,可以解决你感觉很头疼的问题。还涉及一些网络方面的,如果你不是一个超级菜鸟的话,请别乱用!!!!!
XueTr 64位 和32 位
08-24
终于找到一个XueTr 64 位能够用的了,我在win8 64位系统上已经试过了。可以用的。顺便把XueTr 32 位也打包了。 好东西怎么能自己独享呢。
XueTr进程暂停工具
09-04
XueTr进程暂停工具XueTr进程暂停工具
XueTr0.21 (比冰刃IceSword还强的软件)
03-05
这是一款比冰刃IceSword还强的软件,支持所有WinNT内核系统。(包含Windows7) 2009-03-01 0.21版本: 1.修正SPI名字少一个字母Bug(感谢dl123100指出) 2.修正检测到可疑驱动对象会显示服务名Bug(感谢dl123100和曲版指出) 3.修正数字签名把smss.exe检测为没有签名bug(感谢qdk2000指出) 4.几个窗口可以最大化了 5.支持进程和dll模块分上、下两层同时显示(在进程部分右键点"在下方显示模块窗口") 6.修正xueTr清除ppxx回调时程序假死Bug 7.新增禁止创建注册表键(值) 8.新增删除文件时候占坑功能 9.新增查看文件锁定情况功能 2009-02-16 0.20版本: 1.支持windows 7(由于win7还处于beta阶段,我也不知道它的确切Build号,现在默认大于6900是win7,目前程序可以在Build:7000的系统上正常运行) 2.加入数字签名,进程部分右键菜单--->查找没有数字签名的模块,会扫描系统中所有进程的模块 3.线程部分也有点改动,加了线程入口所在模块 4.防了消息钩子模块对XueTr的注入(可能会导致一些美化的系统中,XueTr的界面变丑,暂时不想处理这个问题了),另目前无法防止App_Inits模块的注入,这个暂时不想加了(加这个需要大改动,以后有时间会考虑) 5.对抗伪进程Id 6.XueTr启动的时候,会检测是否有线程注入到XueTr,并给出提示 7.内核模块部分,对有对应服务的,显示的时候会显示出其服务名 8.还修改了几个Bug,不表 2009-02-05 0.19版本: 1.新支持对exFAT文件系统的解析 2.新增了结束进程时候删除进程文件 3.对一些有文件全路径的地方,增添了文件厂商属性 2009-02-02 0.18版本:(本版更新纯是为了解决系统挂机Bug而临时升级的一个版本) 1.增强了启动项检测 2.进程部分右键菜单增加了查找进程模块功能 3.解决了内核模块检测部分的误报可疑驱动对象Bug(感谢dl123100指出) 4.解决了程序非正常结束,下一次启动系统死掉Bug(感谢dl123100和angel13th指出) 2009-01-30 0.17版本: 1.增加了卸载消息钩子 2.增加了枚举窗口,和对窗口的操作 3.增加了禁止待机、注销、关机和重启功能 2009-01-26 0.16版本: 1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文) 2.注册表部分引入了Hive分析,默认是不开启,如果要使用可以用"使用Hive分析"菜单,选择了这个就不会用驱动获取注册表了 3.加了自我保护 4.增加禁止创建进程、线程、文件以及禁止加载模块和消息钩子模块注入功能 5.改了几个界面的小问题,我的界面写作能力很菜,不表了 6.还增强了下内核模块钩子检测(还有提升空间,不想搞了) 2009-01-17 0.15版本: 1.进程部分,加入了挂起、恢复进程(线程)功能 2.文件部分加入了NTFS、FAT32、FAT16文件磁盘解析,本功能默认开启,可以用"开启物理磁盘分析"菜单关闭 2009-01-06 0.14版本: 1.新增ObjectType Hook检测功能(这个功能的实现参考了sudami写的文章,感激) 2.修正无法列举移动存储介质(U盘等)里的文件bug(感谢annybaby指出) 3.修正File和Rigister显示界面,当多次最小化最大化后,树形控件宽度逐渐变窄bug(感谢li58指出) 2009-01-02 0.13版本: 1.调整界面 2.新增操作IE插件、SPI、启动项、服务、映像劫持、Host文件等功能 3.修正一处filter显示bug(感谢dl123100指出) 2008-12-22 0.12版本: 1.解决在装有微点机器下全是白板的问题 2008-12-11 0.11版本: 1.修正有些机器全是白板问题
xuetr_内核工具
06-05
主要功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,热键信息查看,杀进程、杀线程、卸载模块等功能    2.内核驱动模块查看,支持内核驱动模块的内存拷贝    3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook    4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除    5.端口信息查看,目前不支持2000系统    6.查看消息钩子    7.内核模块的iat、eat、inline hook、patches检测和恢复
XueTr 内核工具
06-28
强大的内核工具,驱动查看你,,hook查看,网络查看,进程查看
xp3拆包工具:简单易用的非专业解决方案
资源摘要信息: "xp3拆包工具(小白适用)" xp3拆包工具是一款针对xp3文件格式的特定解包软件,它允许用户轻松地打开和提取xp3文件内的内容,而无需具备专业的IT知识或深入的技术背景。xp3文件通常在某些游戏、应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值