windows10驱动 --- x64线程隐藏(一)

已于 2022-11-12 20:30:49 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: 驱动 文章标签: 驱动开发
于 2022-11-05 05:19:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/127699272
版权

windows10 x64线程隐藏

提示:最近在研究Windows驱动

文章目录

前言

发展到windows10 之后,驱动层已经不像之前那样可以hook来hook去了,有了pg保护和页隔离机制

一、环境

1:windows10 19044.2130 属于最新版
2:vs2019
3: vm15.1虚拟机

二、代码数据

代码如下(示例):

UNREFERENCED_PARAMETER(pDriverObject);
//#include <ntddk.h>
#include "ntifs.h"
#include<wdm.h>
//+ 0x220 Process          : 0xffffbf0f`64bde340 _KPROCESS
//PROCESS ffffbf0f64bde340
//srv*C:\Symbols;F:\xiangmu\MyDriver2\x64\Debug
UCHAR* PsGetProcessImageFileName(PEPROCESS Process);

VOID HideThread(PUCHAR szProcessName)
{
	BOOLEAN bFlag = FALSE;
	NTSTATUS ntstatus = 0;
	PEPROCESS pEprocess = NULL;

	//1.定位进程内核结构
	for (size_t i = 4; i < 0x100000; i += 4)
	{
		ntstatus = PsLookupProcessByProcessId((HANDLE)i, &pEprocess);
		
		if (NT_SUCCESS(ntstatus))
		{
			//释放内核对应引用计次
			ObDereferenceObject(pEprocess);
			//+0x5a8 ImageFileName    : [15] UChar
			
			//获取进程名
			szProcessName = PsGetProcessImageFileName(pEprocess);
	
			//DbgPrint("%s\n", szProcessName);
			if (strcmp("Project3.exe", szProcessName) == 0)
			{
				DbgPrint("pEprocess1 value = %p\n", pEprocess);
				bFlag = TRUE;
				break;
			}
		}
	}

	if (!bFlag)
	{
		return;
	}

	DbgPrint("Project3.exe \r\n");
	//2.隐藏线程头部
	RemoveEntryList((PLIST_ENTRY)(*(PULONGLONG)((char*)pEprocess + 0x030)));	//KTHREAD -> ThreadListEntry
	RemoveEntryList((PLIST_ENTRY)(*(PULONGLONG)((char*)pEprocess + 0x5e0)));   //ETHREAD -> ThreadListEntry

}


NTSTATUS DriverUnload(PDRIVER_OBJECT DriverObject)
{
	DbgPrint("Driver Exit \r\n");
	return STATUS_SUCCESS;

}
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING Regedit)
{
	DbgPrint("Driver Load \r\n");
	

	HideThread("Project3.exe");
	DriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

下次更新指定隐藏线程id,有问题可私聊我。

总结

`提示:虚拟机需要关闭禁止驱动签名
具体步骤:菜单栏—》设置—》更新和安全—》恢复—》高级启动(立即重新启动)
启动后按疑难选项----》按F7禁止驱动签名

weixin_41725706
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows软件调试-windbg
10-31
提供的`X64 Debuggers And Tools-x64_en-us.msi`和`X86 Debuggers And Tools-x86_en-us.msi`是适用于不同架构的Windbg安装包,`x64`和`x86`分别对应64位和32位的调试工具。根据目标环境选择合适的版本进行安装,并...
x64读写驱动源码
05-12
在Windows操作系统中,x64读写驱动是用于在64位环境下操作硬件或系统内存的特殊程序。这种驱动程序通常由系统内核加载,并在操作系统核心层运行,赋予其直接访问硬件资源的能力。了解和编写x64读写驱动对于深入理解...
_ETHREAD断链 —— 实现线程隐藏
walker的博客
03-08 2251
简介 线程所属的父进程 _EPROCESS 结构体中的 ThreadListHead 成员是当前进程中所有线程的双向链表头,该成员有两个,分别在 0x50 和 0x190 处。我们可以通过该线程链表头进行线程遍历,也可以通过直接遍历 _ETHREAD 结构体中的 ThreadListEntry 成员实现遍历进程中的所有线程,ThreadListEntry 分别位于 0x1b0 和 0x22c 处。 我们可以通过 _ETHREAD 的 ThreadListEntry 断链实现线程隐藏。需要注意的是,Threa
写下来回头看,在游戏中隐藏线程思路r3
w2662269的博客
01-18 3094
方法一 1.在游戏进程线程列表里 选一个游戏的线程 并记录线程入口 2.对该线程入口下HOOK跳转到自己的函数 3.然后立刻创建线程 线程创建完后 再把HOOK恢复即可 这个只能达到披羊皮效果 方法二 HOOK游戏窗口消息处理 (那个窗口消息处理的循环体)直接JMP到我的函数 这样就能达到无线程效果 或者找其他微软的线程(前提是这个线程无通信无心跳)找个地方写JMP进去 方法三
说说windows内核中为什么要隐藏线程
weixin_34126557的博客
01-08 794
一、论: 接着上一篇来谈谈,进程都能隐藏,单独隐藏进程中的某一个线程干啥?二、需求: 需求源动力,就是有需求,除了正儿八经热爱喜欢专研的朋友,无利无名、无食而学日不思,真的让人很尊敬。三、打个比方: 当你想要去实现隐藏线程的时候你有可能在干什么?做一个工具?或者说是学习?通过隐藏线程可以更深入理解windows内部原理?进程与线程之间的关系?一个正常进程里面包含恶意线程?这是一个很棒的学习方式。也...
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 666
隐藏任意内核驱动
java实现靠边隐藏窗口
(Never Give Up)--(我的知识点滴)
05-03 289
import java.awt.BorderLayout; import java.awt.Insets; import java.awt.Point; import javax.swing.JFrame; import javax.swing.JLabel; import javax.swing.JPanel; /** * @author qusic * */...
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
qq_41988448的博客
06-02 1920
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
x64隐藏可执行内存
12-01
在IT领域,尤其是在系统安全和逆向工程中,“x64隐藏可执行内存”是一个重要的议题。在64位(x64)操作系统环境下,进程中的内存管理比32位(x86)更为复杂,同时也提供了更多的策略来隐藏或保护执行代码。本文将深入...
libuv-v1.9.0.tar.gz
11-03
它包含了多种I/O复用技术,如epoll(Linux)、kqueue(FreeBSD、OS X)和IOCP(Windows),确保了在各种平台上都能实现高效的事件驱动编程。 2. **核心功能** - **异步I/O**:libuv支持非阻塞的TCP、UDP套接字,...
实现程序在驱动层面的保护;一份用于隐藏进程及其线程的rootkit驱动程序源代码.
12-22
实现程序在驱动层面的保护;分享一份用于隐藏进程及其线程的rootkit驱动程序源代码.
做成dll的驱动隐藏进程
09-19
使用驱动隐藏进程,可做成dll供各种开发语言使用。提供原代码及测试代码。
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
远程线程注入实现木马进程隐藏
05-05
通过远程线程注入技术实现木马进程隐藏,内附有完整地代码以及详细的说明文档
在Win7x64隐藏进程和保护进程
11-10
在Windows 7 x64操作系统环境下,隐藏进程和保护进程是一项高级技术,通常涉及系统底层编程和安全领域。本文将详细解析这一主题,包括隐藏进程的技术手段和保护进程的策略,以便于理解并掌握相关知识。 首先,让...
关于驱动隐藏那点事(不触发PG 支持win10)
热门推荐
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
隐藏驱动完整攻略(猥琐篇)
blackbean的专栏
09-20 4371
基础篇里说的那些东西搞完以后,任何正常的位置都找不到我们的Driver了,此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且,基础篇讲的那些东西,因为都是M$定好的一些格式和位置,代码怎么写都差不多,固定的路子而已。而抹PE镜像或抹DriverObjec
openlogic-openjdk-8u292-b10-windows-x64
最新发布
06-28
### 回答1: openlogic-openjdk-8u292-b10-windows-x64是一个基于开源技术的Java平台,它是OpenLogic公司为Windows操作系统开发的一款Java开发工具,它主要适用于64位的Windows系统。该平台集成了包括Java开发工具、类库、以及运行环境等在内的一系列开发应用工具。 OpenLogic-OpenJDK-8u292-b10-windows-x64具有高效性、灵活性和稳定性,它可以支持多种应用程序的开发和运行,广泛应用在企业级应用、Web应用、嵌入式设备、移动设备等领域。在Java编程语言上,openlogic-openjdk-8u292-b10-windows-x64提供了一系列即时编译(JIT)、垃圾回收(GB)、Java线程、Java类库和运行环境等的优化技术,可以让Java程序在Windows系统上更加高效地运行和开发。 Openlogic-openjdk-8u292-b10-windows-x64还支持多语言开发,不仅可以用于Java语言的开发,还可以用于开发其他语言的编程环境。同时,该平台还支持多种数据库连接池、网络协议栈等开发应用程序的关键技术,可以更好地满足不同开发者及应用场景的需求,扩展Java应用程序的开发和运行能力。 总之,openlogic-openjdk-8u292-b10-windows-x64是一款高度适应性、效率高、可靠性强的开源Java平台,它可以帮助开发者们快速开发和部署Java应用程序,提升应用程序的开发效率和运行性能,是Java开发者们不可缺少的开发利器。 ### 回答2: OpenLogic-OpenJDK-8u292-b10-Windows-x64是一个供Windows 64位操作系统使用的免费Java开发环境,它基于OpenLogic社区推出的OpenJDK项目。它包含了Java开发所必需的工具,如Java编译器、Java执行环境、Java虚拟机等,并且具有很高的可移植性。 OpenLogic-OpenJDK-8u292-b10-Windows-x64采用GPLv2开源协议,因此任何人都可以免费使用、复制、修改和分发它。Java开发人员可以利用它所提供的强大功能,来编写跨平台的应用程序、applet、游戏或者Web应用程序,从而实现Java代码的多平台运行。同时,它还支持JRE(Java运行时环境),允许用户在没有JDK的情况下直接运行Java程序。 OpenLogic-OpenJDK-8u292-b10-Windows-x64是一种十分流行的Java开发环境,它提供了稳定、高效的Java运行时环境和优质的开发工具,让Java开发人员可以更加轻松愉快地进行软件开发工作。总之,如果您是一名Java开发者,那么OpenLogic-OpenJDK-8u292-b10-Windows-x64将会是您的一款不错的选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值