windows10驱动 --- x64线程隐藏(一)

已于 2022-11-12 20:30:49 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: 驱动 文章标签: 驱动开发
于 2022-11-05 05:19:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/127699272
版权

windows10 x64线程隐藏

提示:最近在研究Windows驱动

文章目录

前言

发展到windows10 之后,驱动层已经不像之前那样可以hook来hook去了,有了pg保护和页隔离机制

一、环境

1:windows10 19044.2130 属于最新版
2:vs2019
3: vm15.1虚拟机

二、代码数据

代码如下(示例):

UNREFERENCED_PARAMETER(pDriverObject);
//#include <ntddk.h>
#include "ntifs.h"
#include<wdm.h>
//+ 0x220 Process          : 0xffffbf0f`64bde340 _KPROCESS
//PROCESS ffffbf0f64bde340
//srv*C:\Symbols;F:\xiangmu\MyDriver2\x64\Debug
UCHAR* PsGetProcessImageFileName(PEPROCESS Process);

VOID HideThread(PUCHAR szProcessName)
{
	BOOLEAN bFlag = FALSE;
	NTSTATUS ntstatus = 0;
	PEPROCESS pEprocess = NULL;

	//1.定位进程内核结构
	for (size_t i = 4; i < 0x100000; i += 4)
	{
		ntstatus = PsLookupProcessByProcessId((HANDLE)i, &pEprocess);
		
		if (NT_SUCCESS(ntstatus))
		{
			//释放内核对应引用计次
			ObDereferenceObject(pEprocess);
			//+0x5a8 ImageFileName    : [15] UChar
			
			//获取进程名
			szProcessName = PsGetProcessImageFileName(pEprocess);
	
			//DbgPrint("%s\n", szProcessName);
			if (strcmp("Project3.exe", szProcessName) == 0)
			{
				DbgPrint("pEprocess1 value = %p\n", pEprocess);
				bFlag = TRUE;
				break;
			}
		}
	}

	if (!bFlag)
	{
		return;
	}

	DbgPrint("Project3.exe \r\n");
	//2.隐藏线程头部
	RemoveEntryList((PLIST_ENTRY)(*(PULONGLONG)((char*)pEprocess + 0x030)));	//KTHREAD -> ThreadListEntry
	RemoveEntryList((PLIST_ENTRY)(*(PULONGLONG)((char*)pEprocess + 0x5e0)));   //ETHREAD -> ThreadListEntry

}


NTSTATUS DriverUnload(PDRIVER_OBJECT DriverObject)
{
	DbgPrint("Driver Exit \r\n");
	return STATUS_SUCCESS;

}
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING Regedit)
{
	DbgPrint("Driver Load \r\n");
	

	HideThread("Project3.exe");
	DriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

下次更新指定隐藏线程id,有问题可私聊我。

总结

`提示:虚拟机需要关闭禁止驱动签名
具体步骤:菜单栏—》设置—》更新和安全—》恢复—》高级启动(立即重新启动)
启动后按疑难选项----》按F7禁止驱动签名

weixin_41725706
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows电源管理调节-Powercfg命令应用
ccf19881030的专栏
03-19 2702
Windows下默认有三种电源方案可以通过高性能(GUID:8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c,GUID别名:SCHEME_MIN)平衡(GUID:381b4222-f694-41f0-9685-ff5bb260df2e,GUID别名:SCHEME_BALANCED)节电(GUID:a1841308-3541-4fab-bc81-f71556f20b4a,GUID别名:SCHEME_MAX)**注意:**笔记本上高性能和节电模式可能会被影藏,
windows软件调试-windbg
10-31
提供的`X64 Debuggers And Tools-x64_en-us.msi`和`X86 Debuggers And Tools-x86_en-us.msi`是适用于不同架构的Windbg安装包,`x64`和`x86`分别对应64位和32位的调试工具。根据目标环境选择合适的版本进行安装,并...
x64读写驱动源码
05-12
x64读写驱动源码 对于想学习64位驱动 研究内核的人有一定参考价值``````````````
_ETHREAD断链 —— 实现线程隐藏
walker的博客
03-08 2296
简介 线程所属的父进程 _EPROCESS 结构体中的 ThreadListHead 成员是当前进程中所有线程的双向链表头,该成员有两个,分别在 0x50 和 0x190 处。我们可以通过该线程链表头进行线程遍历,也可以通过直接遍历 _ETHREAD 结构体中的 ThreadListEntry 成员实现遍历进程中的所有线程,ThreadListEntry 分别位于 0x1b0 和 0x22c 处。 我们可以通过 _ETHREAD 的 ThreadListEntry 断链实现线程隐藏。需要注意的是,Threa
3环下的进程隐藏----64位windows 10
笔记本
05-27 2168
搞了两天还没搞定,记录下这两天分析的结论和疑惑吧。。。。。 1. MSDN说ZwQuerySystemInformation这个API在windows 8以上取消了,x86的GetProcAddress是可以找到ZwQuerySystemInformation这个API的,x64的GetProcAddress找到了一个名字不一样的API叫RtlGetNativeSystemInformatio...
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 2829
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
通过驱动断链来隐藏驱动
Misaka10046的博客
07-12 2897
隐藏指定驱动 尝试隐藏这个驱动 #include <ntifs.h> typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY exp; ULONG un; ULONG NonPagedDebugInfo; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICO
驱动开发:DKOM 实现进程隐藏
CSDN
10-11 5523
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入。函数就无法遍历出被摘链的进程了,从而实现了进程的隐藏
驱动开发:内核远程线程实现DLL注入
CSDN
06-22 6299
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
windows消息机制详解-3
u011555996的博客
12-19 2744
1. 引言 Windows 在操作系统平台占有绝对统治地位,基于Windows 的编程和开发越来越广泛。 Dos 是过程驱动的,而Windows 是事件驱动的[6],这种差别的存在使得很多Dos 程序员不能 习惯Windows 的程序开发。而很多Windows 程序开发人员也只是对消息运行机制一知半解, 想要掌握Windows 编程的核心,必须深刻理解消息机制。事件驱动围绕着消息的产生与处 理展开,事件驱动是靠消息循环机制来实现的。也可以理解为消息是一种报告有关事件发生 的通知,消息是Windows 操作
x64隐藏可执行内存
12-01
在IT领域,尤其是在系统安全和逆向工程中,“x64隐藏可执行内存”是一个重要的议题。在64位(x64)操作系统环境下,进程中的内存管理比32位(x86)更为复杂,同时也提供了更多的策略来隐藏或保护执行代码。本文将深入...
libuv-v1.9.0.tar.gz
11-03
它包含了多种I/O复用技术,如epoll(Linux)、kqueue(FreeBSD、OS X)和IOCP(Windows),确保了在各种平台上都能实现高效的事件驱动编程。 2. **核心功能** - **异步I/O**:libuv支持非阻塞的TCP、UDP套接字,...
在Win7x64隐藏进程和保护进程
11-10
在Windows 7 x64操作系统环境下,隐藏进程和保护进程是一项高级技术,通常涉及系统底层编程和安全领域。本文将详细解析这一主题,包括隐藏进程的技术手段和保护进程的策略,以便于理解并掌握相关知识。 首先,让...
汤小丹计算机操作系统 书后习题答案1-9章
weixin_51286239的博客
07-01 7717
汤小丹 计算机操作系统(第四版)一到九章重点部分答案解析
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第三篇 嵌入式Linux驱动开发篇-第四十七章 字符设备和杂项设备总结回顾
BeiJingXunWei的博客
07-23 437
如下图三所示,左边是应用层应用层执行read()write()后会触发file_operation结构体中的xxx_open(),xxx_read(),xxx_write()函数,这几个函数都是操作硬件设备的,这样就实现了应用层操作硬件设备的流程。如果让你点灯,让蜂鸣器响,你会做吗?始化、添加和删除cdev结构体,申请和释放设备号,以及填充file_operations结构体中的操作函数,实现file_operations结构体中的read()、write()和ioctl()等函数是驱动设计的主体工作。
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第三篇 嵌入式Linux驱动开发篇-第四十八章 Platform 设备驱动
BeiJingXunWei的博客
07-23 879
e -- 终于遇到八字匹配的了,那结婚呗,结完婚,男方就向女方交代,我有多少存款,我的房子在哪,钱放在哪等等( struct resource *resource),女方说好啊,于是去房子里拿钱,去给男方买菜啦,给自己买衣服、化妆品、首饰啊等等(int (*probe)(struct platform_device *) 匹配成功后驱动执行的第一个函数),当然如果男的跟小三跑了(设备卸载),女方也不会继续待下去的( int (*remove)(struct platform_device *))。
RK3568笔记四十三:MPU6050驱动开发(硬件I2C_3)
07-24 1043
i2c支持一主多从,各设备地址独立,标准模式传输速率为100kbit/s,快速模式为400kbit/s。总线通过上拉电阻接到电源。当 I2C 设备空闲时,会输出高阻态,而当所有设备都空闲,都输出高阻态时,由上拉电阻把总线拉成高电平。I2C物理总线使用两条总线线路,SCL和SDA。
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第三篇 嵌入式Linux驱动开发篇-第五十九章 等待队列
最新发布
BeiJingXunWei的博客
07-26 483
举个例子,比如说我现在去食堂打饭,阿姨和我说现在没有饭,你需要等一会,等我做好了我再叫你,那么我当前不能获得资源,我被阻塞在这儿了,那么等待队列就是让我们阻塞在这儿,然后等特定的事件发生以后,再继续运行。举个例子来说,比如说阿姨和你说现在没饭,你需要在旁边等一会,等我做好了我再叫你,如果说阿姨做完了不叫你,你又睡着了,那么你今天是不是吃不上饭了,所以说在我们阻塞访问的时候不能获得资源的进程,将进入休眠状态,他将cpu的资源全部让给别的进程,必须保证有一个地方可以唤醒休眠进程,否则的话将会长睡不醒。
openlogic-openjdk-8u292-b10-windows-x64
06-28
### 回答1: openlogic-openjdk-8u292-b10-windows-x64是一个基于开源技术的Java平台,它是OpenLogic公司为Windows操作系统开发的一款Java开发工具,它主要适用于64位的Windows系统。该平台集成了包括Java开发工具、类库、以及运行环境等在内的一系列开发应用工具。 OpenLogic-OpenJDK-8u292-b10-windows-x64具有高效性、灵活性和稳定性,它可以支持多种应用程序的开发和运行,广泛应用在企业级应用、Web应用、嵌入式设备、移动设备等领域。在Java编程语言上,openlogic-openjdk-8u292-b10-windows-x64提供了一系列即时编译(JIT)、垃圾回收(GB)、Java线程、Java类库和运行环境等的优化技术,可以让Java程序在Windows系统上更加高效地运行和开发。 Openlogic-openjdk-8u292-b10-windows-x64还支持多语言开发,不仅可以用于Java语言的开发,还可以用于开发其他语言的编程环境。同时,该平台还支持多种数据库连接池、网络协议栈等开发应用程序的关键技术,可以更好地满足不同开发者及应用场景的需求,扩展Java应用程序的开发和运行能力。 总之,openlogic-openjdk-8u292-b10-windows-x64是一款高度适应性、效率高、可靠性强的开源Java平台,它可以帮助开发者们快速开发和部署Java应用程序,提升应用程序的开发效率和运行性能,是Java开发者们不可缺少的开发利器。 ### 回答2: OpenLogic-OpenJDK-8u292-b10-Windows-x64是一个供Windows 64位操作系统使用的免费Java开发环境,它基于OpenLogic社区推出的OpenJDK项目。它包含了Java开发所必需的工具,如Java编译器、Java执行环境、Java虚拟机等,并且具有很高的可移植性。 OpenLogic-OpenJDK-8u292-b10-Windows-x64采用GPLv2开源协议,因此任何人都可以免费使用、复制、修改和分发它。Java开发人员可以利用它所提供的强大功能,来编写跨平台的应用程序、applet、游戏或者Web应用程序,从而实现Java代码的多平台运行。同时,它还支持JRE(Java运行时环境),允许用户在没有JDK的情况下直接运行Java程序。 OpenLogic-OpenJDK-8u292-b10-Windows-x64是一种十分流行的Java开发环境,它提供了稳定、高效的Java运行时环境和优质的开发工具,让Java开发人员可以更加轻松愉快地进行软件开发工作。总之,如果您是一名Java开发者,那么OpenLogic-OpenJDK-8u292-b10-Windows-x64将会是您的一款不错的选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值