驱动简单隐藏

最新推荐文章于 2023-04-22 19:23:01 发布
最新推荐文章于 2023-04-22 19:23:01 发布
阅读量1.2k 收藏 4
点赞数 2
分类专栏: 内核安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108231795
版权

此方法可以过一般的ark工具,缺点是不能卸载,如果要卸载的话,需要自己把修改的数据保存号,在卸载的时候恢复。

typedef VOID
(*MIPROCESSLOADERENTRY)(
IN PVOID DataTableEntry,
IN LOGICAL Insert
);
//需要使用特征码搜索找出这个函数的地址
MIPROCESSLOADERENTRY MiProcessLoadEntry;

VOID ThreadProc(PVOID Context)
{
	PDRIVER_OBJECT DriverObject = (PDRIVER_OBJECT)Context;
	LARGE_INTEGER timeout = RtlConvertLongToLargeInteger(-10 * 1000 * 1000);

	KeDelayExecutionThread(KernelMode, FALSE, &timeout);

	if (MiProcessLoadEntry != NULL)
	{
		//为false就从链表中移除
		MiProcessLoadEntry(DriverObject->DriverSection, FALSE);

		DriverObject->DriverStart = NULL;
		DriverObject->DriverSize = 0;
		DriverObject->DriverSection = NULL;
		DriverObject->DriverInit = NULL;
		DriverObject->DriverUnload = NULL;
		DriverObject->DeviceObject = NULL;
		
	}

//给出输出信息,确认驱动在运行
	while (TRUE)
	{
		KdPrint(("驱动正在运行\n"));
		KeDelayExecutionThread(KernelMode, FALSE, &timeout);
	}

	PsTerminateSystemThread(0);
}
qq_857305819
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
驱动隐藏文件
06-08
驱动隐藏文件,源文件只有一个,其他为编译所需要的辅助文件,miniHide.c,makefile,minihide.dsp,source等
驱动开发:内核无痕隐藏自身分析
热门推荐
CSDN
10-24 2万+
在笔者前面有一篇文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
简单隐藏驱动分析
liujiayu2的专栏
06-30 1315
当系统加载一个驱动时,会为这个驱动建立一个_KLDR_DATA_TABLE_ENTRY结构体,DRIVER_OBJECT结构体的DriverSection成员指向这个结构体。以下是WRK中_KLDR_DATA_TABLE_ENTRY结构体的定义: typedef struct _KLDR_DATA_TABLE_ENTRY {     LIST_ENTRY InLoadOrderLinks;
驱动隐藏
10-16 1437
 使用可怕的reloadandrun技术后,驱动基本上已经没有DriverObject这种可以枚举的东西,但是还有PEHeader和MZHeader,DosHeader 这三个东西,其实只要在reload后的DriverEntry中抹掉,添0或者添随机数是你的问题啦啦,另外还有一个特征点就是驱动内部的.pdb字符,这个也是可以XX掉的,此时内存中你已经没有任何特征可言了~~吼吼~~最后
隐藏驱动模块
125096
10-20 2047
#include typedef unsigned long DWORD; typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; PVOID ExceptionTable; ULONG ExceptionTableSize; PVOID GpValue; DWORD U
驱动隐藏和加载
06-02
首先,隐藏驱动器是一种简单而有效的保密手段。在Windows 7中,你可以通过以下步骤来隐藏一个驱动器: 1. 打开“我的电脑”或“资源管理器”,找到你想隐藏驱动器。 2. 右键点击该驱动器,选择“属性”。 3. 在弹...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
在IT领域,尤其是在系统安全和恶意软件分析中,"ring0驱动层上实现隐藏进程"是一种高级技术,它涉及到操作系统内核级别的编程。Ring0是CPU执行级别中的最高权限级别,通常只允许操作系统核心和设备驱动程序访问。...
HideDriver.zip_HideDriver_模块隐藏_驱动隐藏
09-21
"HideDriver.zip_HideDriver_模块隐藏_驱动隐藏"的压缩包文件就提供了这样的技术实现。 "模块隐藏"是指在操作系统中使某个驱动程序模块不被常规方法检测到,通常通过修改驱动程序的属性或者利用系统内核机制来实现...
隐藏驱动程序
02-08
这是一款全自动的网络磁盘代理工具,可以在2秒内为用户创建一个独立的隐藏磁盘,且磁盘容量同步D盘,简单的操作就可以解决用户磁盘空间不足的问题,或者私密文件放置问题,就连腾讯电脑管家和360都查不到该磁盘!
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
hidedrive驱动隐藏文件/进程
11-30
文件隐藏驱动 在2000\XP\2003等机器上可以运行 比较稳定-documents hidden drive in 2000 \ XP \ 2,003 such machines can run relatively stable
驱动保护隐藏.ec
08-08
易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .子程序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某程序,并保护程序不被注入,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等程序,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .子程序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .子程序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64位WIn7,与所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .子程序 置格盘陷阱, 逻辑型, 公开 .子程序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .子程序 置死机陷阱, 逻辑型, 公开 .子程序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
驱动隐藏与禁用
03-26
- 驱动器禁用不只是简单地从界面中移除,而是阻止对驱动器的实际访问。即使用户知道驱动器路径,也无法通过命令行或其他方法打开。 - 系统管理员可以通过组策略或者系统权限设置来禁止特定用户账户对某个驱动器的...
HideDriver.rar_驱动 文件 隐藏_驱动删除文件
09-20
它可能是一个批处理文件(.bat)或一个简单的可执行文件(.exe),用户只需运行它就可以完成驱动器的隐藏。此外,如果涉及到驱动器文件的删除,这可能是指卸载特定驱动程序,或者删除驱动器上的数据,这需要管理员...
驱动隐藏模块
qq_45844442的博客
04-22 446
以下代码为驱动隐藏代码,代码比较简单,只需要修改一下PsCreateSystemThread函数最后一个成员,改为自己的驱动名称就可以了(注意不加后缀),这份代码与很多网上的相似,但是当我用网上的代码运行时各种蓝屏,不是少写了个取地址就是IoDriverObjectType没有声明为指针的指针,于是修复了他们写的bug。
驱动编程,隐藏驱动文件,隐藏驱动
追逐光芒,追随内心
10-28 576
//功能:隐藏驱动名 VOID HideDriver(char* drivername, PDRIVER_OBJECT driverobj) { KIRQL irql; ULONG64 base; PLDR_DATA_TABLE_ENTRY firstentry; PLDR_DATA_TABLE_ENTRY entry = (PLDR_DATA_TABLE_ENTRY)driverobj->DriverSection; firstentry = entry; base = GetDir.
64位驱动隐藏进程与保护进程.e
最新发布
11-23
64位驱动隐藏进程和保护进程是指使用64位驱动程序来隐藏操作系统中的进程,并保护这些进程免受恶意软件或未授权访问的侵害。 首先,64位驱动可以通过修改内核数据结构来隐藏进程。驱动可以通过直接访问内核内存,修改进程列表或隐藏进程的关键信息,如进程ID、名称等。这样,隐藏的进程在任务管理器等操作系统工具中将看不见,对于恶意软件的识别和攻击会更加困难。 其次,64位驱动可以使用安全特性来保护进程。驱动可以通过访问操作系统的安全模块,如Windows内核安全模块(Windows Kernel Security Module),来实施防护措施。驱动可以加密、加密或签名进程的代码和数据,防止恶意软件注入恶意代码或篡改关键数据。此外,驱动可以通过访问操作系统的访问控制列表(ACL)来限制对进程的访问权限,只允许授权用户或进程进行访问。 第三,64位驱动可以监视和检测对进程的非法访问。驱动可以实时监视进程间通信和系统调用,及时发现恶意软件的行为。如果检测到非法访问或异常操作,驱动可以采取相应的措施,如终止进程、阻止非法访问等。 总之,64位驱动隐藏进程和保护进程能够提升操作系统的安全性,保护进程免受恶意软件的攻击和未授权访问。这对于保护个人计算机、企业服务器等信息系统的安全至关重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值