内核驱动隐藏【绕过PatchGuard】

已于 2022-05-28 16:37:18 修改
阅读量2.4k 收藏 23
点赞数 2
文章标签: c语言 c++ 驱动开发 软件工程
于 2022-05-17 15:22:14 首次发布
By Rose
本文链接:https://blog.csdn.net/qq_41963135/article/details/124821661
版权

心血来潮测试隐藏驱动还不触发PG,看看有探讨的同学不

  1. 断链 //你可能会随时会看到一个蓝色的屏幕!
  2. 直接MiProcessLoaderEntry //跟断链没有太大区别,但是在测试中,不会见到蓝色的屏幕,同时SEH异常处理也失效!
  3. 现在操作的就是使用MiProcessLoaderEntry来处理!

关键步骤如下:

1.驱动入口调用IoRegisterDriverReinitialization函数原型如下

void IoRegisterDriverReinitialization(
  _in_           PDRIVER_OBJECT       DriverObject,
  _in_           PDRIVER_REINITIALIZE DriverReinitializationRoutine,
  _in_, optional_ PVOID                Context
);

2.处理操作如下:

typedef NTSTATUS(__fastcall* _MiProcessLoaderEntry)(PVOID pDriverSection, BOOLEAN bool_);
typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeofImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	PVOID SectionPointer;
	ULONG CheckSum;
	PVOID LoadedImports;
	LIST_ENTRY64 ForwardweLinks;
	LIST_ENTRY64 ServiceTaLinks;
	LIST_ENTRY64 sTATIClINKS;
	PVOID ContextInformation;
	LARGE_INTEGER LoadTime;
}LDR_DATA_TABLE_ENTRY, * P_LDR_DATA_TABLE_ENTRY;

VOID DriverReinitializationRoutine(PDRIVER_OBJECT pDriverObject, PVOID Context, ULONG Count){
	_MiProcessLoaderEntry MiProcessLoaderEntry = NULL;
	MiProcessLoaderEntry(pDriverObject->DriverSection, FALSE);
	P_LDR_DATA_TABLE_ENTRY LdrEntry = (P_LDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
	InitializeListHead(&LdrEntry->InLoadOrderLinks);
	InitializeListHead(&LdrEntry->InMemoryOrderLinks);
	p->DriverUnload = NULL;
	p->DriverInit = NULL;
	p->DriverSize = NULL;
	p->DriverStart = NULL;
	p->DeviceObject = NULL;
	p->DriverSection = NULL;
}

经过上方一系列操作后,任何工具都无法看到驱动的加载,当然也是正常运行的!
正常通讯!

Mr.Rose
关注
绕过PG和DSE的代码
04-23
静态过PG 通用补丁过保护和驱动程序签名强制禁用 UPGDSED Universal PatchGuard and Driver Signature Enforcement Disable
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
驱动隐藏
04-11
驱动隐藏文件
绕过PatchGuard 3
04-04
本文介绍如何在最新的Windows版本上绕过PatchGuard 3。
绕过PatchGuard
WorryFree
09-23 1182
初级版 - 绕过PatchGuard
Windows10 Ring0下过PatchGuard隐藏进程
最新发布
zcy5157912的博客
03-19 379
Windows10 x64亲测可用
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2526
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
隐藏驱动的方法
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 726
以下内容来自www.rootkit.com Driver Hidding based on the following methods: 1.removing module form PsLoadedModuleList(that passed some old rkdectors) 2.removing object from ObjectDirectory(that bypassed
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
cpp-通用PatchGuard驱动程序签名强制禁用
08-16
通用PatchGuard驱动程序签名强制禁用,Universal PatchGuard and Driver Signature Enforcement Disable
UPGDSED-1.1.2.zip_PatchGuard_UPGDSED 下载_energyjop_patchguard dis
09-21
综合以上信息,我们可以推测这个压缩包可能是一个针对Windows操作系统的工具,其主要功能是禁用PatchGuard安全机制,可能适用于开发者或者系统管理员,他们在特定情况下需要绕过PatchGuard以执行某些任务。...
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
windows10静态禁用patchguard全过程
时空向量的博客
12-06 1043
windows10静态禁用patchguard全过程
关于驱动隐藏那点事(不触发PG 支持win10)
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
火绒内核注入dll方式win7-win10通用x64下不触发PG
chio1994的博客
07-09 2517
帖子原地址为:http://www.mengwuji.net/thread-6765-1-1.html 看起来相当简单.结果踩进去以后全都是坑 32位下完工代码地址:http://git.oschina.net/ockdieso/nahequdongzhurudll 只是对哪个帖子做一些...
驱动开发内核无痕隐藏自身分析
热门推荐
CSDN
10-24 2万+
在笔者前面有一篇文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
隐藏驱动完整攻略(猥琐篇)
blackbean的专栏
09-20 4434
基础篇里说的那些东西搞完以后,任何正常的位置都找不到我们的Driver了,此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且,基础篇讲的那些东西,因为都是M$定好的一些格式和位置,代码怎么写都差不多,固定的路子而已。而抹PE镜像或抹DriverObjec
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Rose

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值