枚举和隐藏内核模块

最新推荐文章于 2022-10-14 13:15:37 发布
最新推荐文章于 2022-10-14 13:15:37 发布
阅读量757 收藏
点赞数
分类专栏: 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/86550125
版权

这个还是根据作者Tesla.Angela所开源的教程写的东西  感谢作者 无私奉献的精神  

先说枚举 枚举是在应用层实现的   这里的精髓就是找到了 了 WIN64 上 SYSTEM_MODULE_INFORMATION 正确 的结构体定义  如果这个结构 找不对   那么 程序肯定是不对的  

然后 用的是 函数 ZwQuerySystemInformation 的 第11号功能     查询  模块信息 

直接看代码吧 这个代码 是根据我 作者开源的代码 所写    

 

#include <stdio.h>
#include <Windows.h>

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)
(
	IN ULONG	SystemInformationClass,
	OUT PVOID	SystemInformation,
	IN ULONG	Length,
	OUT PULONG	ReturnLength
);

typedef unsigned long DWORD;

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
    ULONG Unknow1;
    ULONG Unknow2;
    ULONG Unknow3;
	ULONG Unknow4;
    PVOID Base;
    ULONG Size;
    ULONG Flags;
    USHORT Index;
    USHORT NameLength;
    USHORT LoadCount;
    USHORT ModuleNameOffset;
    char ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION
{
	ULONG Count;
    SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation;

VOID Find(char* FindName)
{
	BOOL flag = 0;
	ULONG NeedSize, ModuleCount, BufferSize = 0x5000;
	PVOID pBuffer=NULL;
	PCHAR pName=NULL;
	NTSTATUS Result;
	PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;
	do
	{
		pBuffer = malloc(BufferSize);
		if (pBuffer == NULL)
			return;
		Result = ZwQuerySystemInformation(11, pBuffer, BufferSize, &NeedSize);
		if (Result == 0xC0000004L)
		{
			free(pBuffer);
			BufferSize *= 2;
		}
		else if (Result<0)
		{
			//查询失败则退出
			free(pBuffer);
			return;
		}

	} while (Result == 0xC0000004L);

	pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;
	ModuleCount = pSystemModuleInformation->Count;
	for (int i = 0; i < ModuleCount; i++)
	{
		if ((ULONG64)(pSystemModuleInformation->Module[i].Base)>(ULONG64)0x8000000000000000)
		{  
			pName = pSystemModuleInformation->Module[i].ImageName + pSystemModuleInformation->Module[i].ModuleNameOffset;
			printf("0x%llx\t%s", (ULONG64)pSystemModuleInformation->Module[i].Base, pName);
			if (_stricmp(pName, FindName) == 0)
			{
				printf("\t\t<--------------------");
				flag = 1;
			}
			printf("\n");
		}
		
		}
	if (flag)
	{
		printf("寻找到了指定内核模块!\n");
	}
	else
	{
		printf("很遗憾 没有找到!\n");
	}

}
int main()
{	
	ZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)GetProcAddress(LoadLibraryW(L"ntdll.dll"),"ZwQuerySystemInformation");
	Find("win32k.sys");
	getchar();
	return 0;
}

在windows10 完美运行 

然后下面就是隐藏了 

隐藏 就是上一个博客说的断链了   

这里 其实应该有两种方法的    下面是参考作者 写出的代码 

#include<ntddk.h>
#include <Ntddkbd.h>
NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation
(
IN ULONG	SystemInformationClass,
OUT PVOID	SystemInformation,
IN ULONG	Length,
OUT PULONG	ReturnLength
);

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
	ULONG Unknow1;
	ULONG Unknow2;
	ULONG Unknow3;
	ULONG Unknow4;
	PVOID Base;
	ULONG Size;
	ULONG Flags;
	USHORT Index;
	USHORT NameLength;
	USHORT LoadCount;
	USHORT ModuleNameOffset;
	char ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION
{
	ULONG Count;//内核中以加载的模块的个数
	SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY64 InLoadOrderLinks;
	ULONG64 __Undefined1;
	ULONG64 __Undefined2;
	ULONG64 __Undefined3;
	ULONG64 NonPagedDebugInfo;
	ULONG64 DllBase;
	ULONG64 EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG   Flags;
	USHORT  LoadCount;
	USHORT  __Undefined5;
	ULONG64 __Undefined6;
	ULONG   CheckSum;
	ULONG   __padding1;
	ULONG   TimeDateStamp;
	ULONG   __padding2;
}KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
PDRIVER_OBJECT DriverObject = NULL;
ULONG64 GetSystemModuleBase(char* lpModuleName)
{
	ULONG NeedSize, i, ModuleCount, BufferSize = 0x5000;
	PVOID pBuffer = NULL;
	PCHAR pDrvName = NULL;
	NTSTATUS Result;
	PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;
	do
	{
		pBuffer = ExAllocatePool(NonPagedPool,BufferSize);
		if (pBuffer == NULL)
			return 0;
		Result = ZwQuerySystemInformation(11, pBuffer, BufferSize, &NeedSize);
		if (Result == STATUS_INFO_LENGTH_MISMATCH)
		{
			ExFreePool(pBuffer);
			BufferSize *= 2;
		}
		else if (!NT_SUCCESS(Result))
		{
			ExFreePool(pBuffer);
			return 0;
		}
	} while (Result == STATUS_INFO_LENGTH_MISMATCH);
	pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;
	ModuleCount = pSystemModuleInformation->Count;
	for (i = 0; i < ModuleCount; i++)
	{
		if ((ULONG64)(pSystemModuleInformation->Module[i].Base) >(ULONG64)0x8000000000000000)
		{
			pDrvName = pSystemModuleInformation->Module[i].ImageName + pSystemModuleInformation->Module[i].ModuleNameOffset;
			if (_stricmp(pDrvName, lpModuleName) == 0)
				return (ULONG64)pSystemModuleInformation->Module[i].Base;
		}
	}
	ExFreePool(pBuffer);
	return 0;
}
VOID HideDriver(char *pDrvName)
{
	PKLDR_DATA_TABLE_ENTRY entry = (PKLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;
	PKLDR_DATA_TABLE_ENTRY firstentry;
	ULONG64 pDrvBase = 0;
	KIRQL OldIrql;
	firstentry = entry;
	pDrvBase = GetSystemModuleBase(pDrvName);
	while ((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)
	{
		if (entry->DllBase == pDrvBase)
		{
			OldIrql = KeRaiseIrqlToDpcLevel();
			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Flink))->Blink = entry->InLoadOrderLinks.Blink;
			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Blink))->Flink = entry->InLoadOrderLinks.Flink;
			entry->InLoadOrderLinks.Flink = 0;
			entry->InLoadOrderLinks.Blink = 0;
			KeLowerIrql(OldIrql);
			DbgPrint("Remove LIST_ENTRY64 OK!");
			break;
		}
		DbgPrint("%llx\t%wZ\t%wZ", entry->DllBase, entry->BaseDllName, entry->FullDllName);
		entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;

	}

}
VOID Unload(PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("开始卸载!\n")); 
	
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{
	pDriverObject->DriverUnload = Unload;
	DriverObject = pDriverObject;
	HideDriver("win32k.sys");
	return STATUS_SUCCESS;
}
#include<ntddk.h>
#include <Ntddkbd.h>
NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation
(
IN ULONG	SystemInformationClass,
OUT PVOID	SystemInformation,
IN ULONG	Length,
OUT PULONG	ReturnLength
);

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
	ULONG Unknow1;
	ULONG Unknow2;
	ULONG Unknow3;
	ULONG Unknow4;
	PVOID Base;
	ULONG Size;
	ULONG Flags;
	USHORT Index;
	USHORT NameLength;
	USHORT LoadCount;
	USHORT ModuleNameOffset;
	char ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION
{
	ULONG Count;//内核中以加载的模块的个数
	SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY64 InLoadOrderLinks;
	ULONG64 __Undefined1;
	ULONG64 __Undefined2;
	ULONG64 __Undefined3;
	ULONG64 NonPagedDebugInfo;
	ULONG64 DllBase;
	ULONG64 EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG   Flags;
	USHORT  LoadCount;
	USHORT  __Undefined5;
	ULONG64 __Undefined6;
	ULONG   CheckSum;
	ULONG   __padding1;
	ULONG   TimeDateStamp;
	ULONG   __padding2;
}KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
PDRIVER_OBJECT DriverObject = NULL;
UNICODE_STRING uString;
ULONG64 GetSystemModuleBase(char* lpModuleName)
{
	ULONG NeedSize, i, ModuleCount, BufferSize = 0x5000;
	PVOID pBuffer = NULL;
	PCHAR pDrvName = NULL;
	NTSTATUS Result;
	PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;
	do
	{
		pBuffer = ExAllocatePool(NonPagedPool,BufferSize);
		if (pBuffer == NULL)
			return 0;
		Result = ZwQuerySystemInformation(11, pBuffer, BufferSize, &NeedSize);
		if (Result == STATUS_INFO_LENGTH_MISMATCH)
		{
			ExFreePool(pBuffer);
			BufferSize *= 2;
		}
		else if (!NT_SUCCESS(Result))
		{
			ExFreePool(pBuffer);
			return 0;
		}
	} while (Result == STATUS_INFO_LENGTH_MISMATCH);
	pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;
	ModuleCount = pSystemModuleInformation->Count;
	for (i = 0; i < ModuleCount; i++)
	{
		if ((ULONG64)(pSystemModuleInformation->Module[i].Base) >(ULONG64)0x8000000000000000)
		{
			pDrvName = pSystemModuleInformation->Module[i].ImageName + pSystemModuleInformation->Module[i].ModuleNameOffset;
			if (_stricmp(pDrvName, lpModuleName) == 0)
				return (ULONG64)pSystemModuleInformation->Module[i].Base;
		}
	}
	ExFreePool(pBuffer);
	return 0;
}
VOID HideDriver()
{
	PKLDR_DATA_TABLE_ENTRY entry = (PKLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;
	PKLDR_DATA_TABLE_ENTRY firstentry;
	ULONG64 pDrvBase = 0;
	KIRQL OldIrql;
	firstentry = entry;
	//pDrvBase = GetSystemModuleBase(pDrvName);
	while ((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)
	{
		if (RtlEqualUnicodeString(&(entry->BaseDllName), &uString,TRUE))
		{
			OldIrql = KeRaiseIrqlToDpcLevel();
			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Flink))->Blink = entry->InLoadOrderLinks.Blink;
			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Blink))->Flink = entry->InLoadOrderLinks.Flink;
			entry->InLoadOrderLinks.Flink = 0;
			entry->InLoadOrderLinks.Blink = 0;
			KeLowerIrql(OldIrql);
			DbgPrint("Remove LIST_ENTRY64 OK!");
			break;
		}
		DbgPrint("%llx\t%wZ\t%wZ", entry->DllBase, entry->BaseDllName, entry->FullDllName);
		entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;

	}

}
VOID Unload(PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("开始卸载!\n")); 
	
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{
	pDriverObject->DriverUnload = Unload;
	DriverObject = pDriverObject;
	RtlInitUnicodeString(&uString, L"win32k.sys");
	HideDriver();
	return STATUS_SUCCESS;
}

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程模块枚举隐藏
Catch me if you can
05-11 2495
整理
Win64 驱动内核编程-25.X64枚举隐藏内核模块
墨鱼菜鸡
12-18 237
X64枚举隐藏内核模块 在WIN64上枚举内核模块的人方法:使用ZwQuerySystemInformation的第11号功能和枚举KLDR_DATA_TABLE_ENTRY中的InLoadOrderLinks双向链表;隐藏内核模块的通用方法是把指定的驱动对象从KLDR_D...
易语言枚举内核模块信息源码
06-11
易语言枚举内核模块信息源码 不含模块! 纯API打造
枚举内核模块
cqyczj的专栏
04-24 838
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie) {   NTSTATUS status = STATUS_SUCCESS;   ULONG   n       = 0;   ULONG   i       = 0;   PSYSTEM_MODULE_INFORMATIO
进程中dll模块的隐藏
xjh_Love_paopao的专栏
07-21 1545
 http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。        我们可以先简单看看Windows枚举进程内模块的办法吧:  
应用层枚举内核模块
maomao171314的专栏
07-20 357
EnumKernelModules
[内核编程]枚举内核空间所有驱动模块
輚至消亡
07-13 1274
1. 通过驱动对象枚举 第一种方法是通过驱动对象。驱动对象DRIVER_OBJECT中有一个字段叫DriverSection的指针。该指针实际上指向一个_LDR_DATA_TABLE_ENTRY结构 与内核态下枚举进程内的模块一样。驱动模块也是通过该结构中的3条双向循环链条以不同顺序分别串起来。 先根据windbg获取对应需要的结构体: typedef struct _PEB_LDR_DATA { ULONG Length; UCHAR Initialized[4]; PVOID..
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
在IT安全领域,隐藏进程、模块以及内存空间是高级攻击技术的一部分,这些技术通常被用于逃避检测和防御机制。本文将深入探讨标题“MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏”所涉及的知识点,包括PEB...
易语言隐藏所有进程模块源码
06-02
"隐藏所有进程模块"是指在编程中实现一个功能,使得指定的进程或程序的所有模块(如DLL动态链接库)在系统中变得不可见,这通常涉及到系统级的操作和进程管理。 在易语言中实现这一功能,你需要了解以下几个关键...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5073
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
内存无模块注入DLL易语言源码
09-19
将自身的功能DLL加载进资源中,然后编译成为注入DLL,然后把注入DLL注入到指定的程序中,该注入DLL就会把你的功能DLL采用重定位的方式注入到进程中,并把注入DLL自身卸载,实现无API无ldr无vad记录注入。最有效化隐藏自身功能DLL。
模块枚举枚举隐藏模块)
huanongying131的博客
06-21 1527
转:https://www.cnblogs.com/xiaojinma/archive/2012/12/06/2805399.html
驱动开发:内核中枚举进线程与模块
最新发布
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
枚举当前系统进程以及进程加载模块
C++ 永无止境
04-03 1万+
枚举当前系统进程的方法大致分一下几个步骤:一、 提升应用程序的进程权限///////////////自定义函数实现///////////////// BOOL PromotePrivilege(BOOL bEnable) { // 附给本进程特权,以便访问系统进程 HANDLE hToken; // 打开一个进程的访问令牌 if(::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
枚举Windows进程中模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1703
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
隐藏驱动模块(源码)
liujiayu2的专栏
06-16 2924
XP亲测有效,使用我们自己编写的枚举驱动模块会看不到。枚举驱动模块请看文章 http://blog.csdn.net/liujiayu2/article/details/72822478 但是使用ARK工具依然能看到我们隐藏的驱动某块,比如kernel detective 和PChunter 但是隐藏的驱动模块为红色,意为ARK工具检测到了该模块进行了隐藏 #include
显示隐藏模块实现的几种方式
慕白博客
08-01 2447
显示隐藏模块实现的几种方式 网页结构: &lt;style&gt; body { width: 400px; margin: 0 auto; } .btn { width:50%; height: 30px; } #box { width: 200px; height:100px; background-color: red; ...
遍历vad二叉树来遍历进程里的模块
liuhaidon1992的博客
01-08 1064
/* 遍历vad二叉树来遍历进程里的模块 */ #include <ntifs.h> typedef struct _MMADDRESS_NODE { ULONG64 u1; struct _MMADDRESS_NODE* LeftChild; struct _MMADDRESS_NODE* RightChild; ULONG64 StartingVpn; ULONG...
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6364
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
C++结构体、共同体和枚举详解
本文主要介绍了C++中的结构体、共同体(union)和枚举型,以及如何定义和使用它们。 在C++编程语言中,结构体(struct)是一种复合数据类型,它允许我们将不同类型的数据组合成一个单一的实体。结构体的引入解决了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值