内核驱动隐藏自身【断链】

最新推荐文章于 2023-10-01 16:55:20 发布
最新推荐文章于 2023-10-01 16:55:20 发布
阅读量1k 收藏 7
点赞数 2
文章标签: c++ 内核 驱动程序
By Rose
本文链接:https://blog.csdn.net/qq_41963135/article/details/122827035
版权

内核驱动加载断链式隐藏自身

//创建一个驱动对象数据结构
typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY64 InLoadOrderLinks;//关键链
	ULONG64 Undefined1;
	ULONG64 Undefined2;
	ULONG64 Undefined3;
	ULONG64 NonPagedDebugInfo;
	ULONG64 DllBase;
	ULONG64 EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG   Flags;
	USHORT  LoadCount;
	USHORT  Undefined5;
	ULONG64 Undefined6;
	ULONG   CheckSum;
	ULONG   padding1;
	ULONG   TimeDateStamp;
	ULONG   padding2;
}KLDR_DATA_TABLE_ENTRY, * PKLDR_DATA_TABLE_ENTRY;

//驱动入口代码
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath){
	//声明必要结构list获取自身对象结构
	PKLDR_DATA_TABLE_ENTRY list = (PKLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;
	//断链操作,上一个对象等于下一个,下一个等于上一个对象,达到把自己隐藏起来的目的
	*((ULONGLONG*)list->InLoadOrderLinks.Blink) = list->InLoadOrderLinks.Flink;
	((LIST_ENTRY64*)list->InLoadOrderLinks.Flink)->Blink = list->InLoadOrderLinks.Blink;
	//下面关键,功能可以达到很多!前后断隐藏自身(头尾全断可以达到禁止任何程序加载驱动的目的,其他还有很多,这里只列出一个)
	list->InLoadOrderLinks.Flink = (ULONGLONG)&(list->InLoadOrderLinks);//Flink
	list->InLoadOrderLinks.Blink = (ULONGLONG)&(list->InLoadOrderLinks);//Flink
//操作完成返回OK
return STATUS_SUCCESS;
}
Mr.Rose
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
从进程链表中摘除指定进程
R0隐藏驱动模块代码
编程论坛
08-20 2315
BOOLEAN ValidateUnicodeString(PUNICODE_STRING usStr) { ULONG i; __try { if (!MmIsAddressValid(usStr)) { return FALSE; } if (usStr->Buffer...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
驱动断链隐藏模块E源码
04-02
编译可用.驱动读写断链隐藏模块
delphi LDR断链 隐藏DLL
Shirley068的博客
08-16 490
unit UHideModule; interface uses windows; type UNICODE_STRING = packed record Len:Cardinal; Max:Cardinal; Buffer:PWideChar end; PLIST_ENTRY = ^LIST_ENTRY; LIST_ENTRY = Packed r...
驱动开发:断链隐藏驱动程序自身
CSDN
10-14 9521
断链隐藏进程功能类似,关于断链进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,断链隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
通过驱动断链隐藏驱动
Misaka10046的博客
07-12 2787
隐藏指定驱动 尝试隐藏这个驱动 #include <ntifs.h> typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY exp; ULONG un; ULONG NonPagedDebugInfo; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICO
驱动隐藏进程(eprocess断链
最新发布
qq_43147121的博客
10-01 639
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程在内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。
驱动开发:内核无痕隐藏自身分析
热门推荐
CSDN
10-24 1万+
在笔者前面有一篇文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
驱动模块隐藏源码.rar
09-25
纯源码,驱动源码,不是sys成品文件,而是sys驱动文件源代码,非常适合参考学习 是x64的,隐藏指定驱动sys,不被检测
驱动保护隐藏.ec
08-08
易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .子程序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某程序,并保护程序不被注入,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等程序,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .子程序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .子程序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64位WIn7,与所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .子程序 置格盘陷阱, 逻辑型, 公开 .子程序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .子程序 置死机陷阱, 逻辑型, 公开 .子程序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
驱动保护进程_隐藏进程_遍历内核句柄
07-02
2、断链隐藏自己的进程,防PG 3、设置R3层的访问权限 4、保护指定进程的内存权限 5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己...
内核驱动中检测隐藏进程
01-13
正常 的进程 没有必 要去 隐藏 自己.毕竟隐藏进程花费的代价还是 很 高 的。为什 么这 么说呢 ? 系统 中安 装 了钩 子 .运 行效 率 自然不 会 很高 人 正 不怕 影子 歪 .所 以说没 有必要去 隐藏 自己。当然也有 ...
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
驱动级别隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。...自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程源代码2)
二、C++反作弊对抗实战 (进阶篇 —— 2.作弊器中常见断链隐藏DLL方法)
Koma的主页
03-03 1261
目前,比较常见的模块隐藏方法有抹去模块的PE头、断开进程的LDR_MODULE链或者Hook模块枚举函数等,这里介绍前面抹去PE头、断链的方法。 提示:以下是本篇文章正文内容,下面案例可供参考 一、设置环境变量符号表 示首先需要在系统环境变量中设置符号表自动下载,如下图: 变量名:_NT_SYMBOL_PATH 变量值:srv*D:/symbols*http://msdl.microsoft.com/download/symbols 这里将是后面VS2010或windbg调试时将用到的.
hidetoolz源码_开源r0进程隐藏保护工具通过发送窗口消息
weixin_40008033的博客
12-19 1477
毕竟是不会蓝屏的隐藏进程,也想看看到底是破PG的还是什么更骚的操作。于是鄙人分析了--"HideToolz"--无奈发现鄙人电脑一直驱动加载失败,正当选择放弃、正当选择打开UC看点什么的时候,收到了搜索引擎推送广告(根据历史),没错就是"HideToolz"、好吧,下载了个最新版,发现可以加载成功了,接下来把sys提取出来,然后拖进IDA接下来就是一顿乱C当然少不了我修改一丢丢代码了(我眼里不到1...
win7-32、驱动模块遍历、驱动模块隐藏
Windows内核学习笔记
07-08 840
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
内核断链隐藏进程(兼容多版本windows系统,非硬编码)
07-28
内核断链隐藏进程是一种技术手段,用于在Windows系统中隐藏恶意或非法的进程,以逃避系统安全监控和检测。其关键思想是通过修改内核数据结构,使得隐藏的进程在系统进程链表中移除,从而实现对其的隐匿控制。 为了实现对不同版本的Windows系统的兼容性,并且不使用硬编码的方式,我们可以采取以下步骤: 首先,通过逆向工程和系统调试技术,分析目标系统中的进程链表数据结构。这需要了解不同版本Windows系统的内核数据结构和操作方式的差异。 其次,根据分析得到的数据结构,编写针对不同版本Windows系统的代码。可以使用C或者汇编语言,在内核模式下编写驱动程序,通过调用对应版本的API函数和操作系统核心服务来实现断链隐藏进程的操作。 在实现过程中,需要注意使用适当的方法来隐藏修改后的数据结构,以避免让系统安全检测软件或杀毒软件察觉到异常。例如,可以使用rootkit技术来掩盖修改的痕迹。 最后,在驱动程序编写完成后,需要通过数字签名等方式来保证其在目标系统中的合法性,以确保其能够被加载和执行。 总之,内核断链隐藏进程是一项高级的技术手段,涉及到对Windows系统内核的深入了解和驱动程序的编写。为了在多版本的Windows系统上实现兼容,并且避免使用硬编码,要通过逆向工程和系统调试等方式来获取不同版本系统的数据结构,并编写相应的驱动程序来实现隐藏进程的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Rose

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值