qq_41252520的博客

项目提供的release版本的驱动没有签名，请在调试模式下使用。已在Win7 x32/x64 ~ Win10 x32/x64上测试通过，Win11理论上也是支持的，请自测。Rookit和Anti-Rookit相关的功能。

在开发测试环境下，没有打签名的驱动调用ObRegisterCallbacks会返回0xC0000022（拒绝访问）的错误码。这是由于该函数内部会进行驱动的签名校验。因此可以用以下代码绕过该检查。

关于ETW是什么我就不多说了，可以通过微软的相关文档了解到。据网上得知这项技术最早被披露于2345的驱动中，一位工程师将其代码逆向还原之后大白于天下。随后各大安全厂商相继使用这种技术实现监控系统调用、内存页错误等。它是一个相对于VT来说更稳定，更简单的系统监控方式。调用ZwTraceControlZwTraceControl启用ETW日志（Win8只有NtTraceControlNtTraceControl。

文件隐藏的方法有很多，这里分享的是一种通过内核文件重定向的方式动态规避检测的方法。举例：假设有一个安全软件A，A要扫描文件B，B是我们想要隐藏的文件。那么我们在内核中将A打开文件B的操作重定向到打开文件C，文件C我们设置为一个系统原有且自带微软签名的文件，这样文件B就躲过了A的扫描。等同于文件B对于安全软件A来说就是隐藏的。

Rookit是个老生常谈的话题了，它包括隐藏进程、隐藏模块、隐藏端口等隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码，但你不能不懂，也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题，索性我就利用空余时间研究了一下网络端口的隐藏。网上随便去搜搜隐藏端口的资料，发现能用的几乎没有。这才是我研究的动力和分享的意义。\textcolor{green}{这才是我研究的动力和分享的意义。这才是我研究的动力和分享的意义。于是就自己研究了一通，发现也没什么特别的。