windows10驱动 x64--- 驱动实现隐藏任意进程(四)

最新推荐文章于 2024-05-20 10:23:39 发布
最新推荐文章于 2024-05-20 10:23:39 发布
阅读量3.1k 收藏 9
点赞数 2
分类专栏: 驱动 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/127795968
版权

x64--- 驱动实现隐藏任意进程

了解原理

流程:PsInitialSystemProcess(进程HeadList) —>给出进程名—>0环实现进程隐藏

驱动层代码—0环

#include "ntifs.h"
#include<wdm.h>

//extern PEPROCESS PsInitialSystemProcess;
NTSTATUS DriverUnload(PDRIVER_OBJECT DriverObject)
{
	DbgPrint("Driver Exit \r\n");
	return STATUS_SUCCESS;

}

UCHAR* PsGetProcessImageFileName(PEPROCESS Process);
PEPROCESS ProcessObject;

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING Regedit)
{
	

	//遍历进程
	PUCHAR szProcessName = PsGetProcessImageFileName(PsInitialSystemProcess);

	PLIST_ENTRY BmpList = { 0 };
	BmpList = (PLIST_ENTRY)(((PUCHAR)PsInitialSystemProcess + 0x448));
	BOOLEAN bmp = FALSE;
	
	DbgPrint("szProcessName %s\n", szProcessName);
	for (;;)
	{
		
		BmpList = BmpList->Flink;
		szProcessName = PsGetProcessImageFileName((PEPROCESS)((PUCHAR)BmpList -0x448));
		DbgPrint("szProcessName %s\n", szProcessName);
		if (strcmp(szProcessName, "") == 0)
		{
			bmp = TRUE;
			return STATUS_SUCCESS;
		}

		if (strcmp(szProcessName, "123.exe") == 0)
		{
			//DbgPrint("找到了");
			break;
		}

	}
	//隐藏进程
	BmpList->Flink->Blink = BmpList->Blink;
	BmpList->Blink->Flink = BmpList->Flink;

	DriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

测试截图

加载驱动前:
在这里插入图片描述
加载驱动后:
在这里插入图片描述

隐藏了进程123.exe

注意:如果此时直接关闭隐藏进程会导致蓝屏。

weixin_41725706
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
win7 win8 win10 64位下 进程隐藏工具 亲测可用
04-15
win7 win8 win10 64位下 进程隐藏工具 亲测可用 win7 win8 win10 64位下 进程隐藏工具 亲测可用 win7 win8 win10 64位下 进程隐藏工具 亲测可用
探秘 HideProcess:一款强大的系统进程隐藏工具
gitblog_00009的博客
04-16 1731
探秘 HideProcess:一款强大的系统进程隐藏工具 项目地址:https://gitcode.com/landhb/HideProcess 在数字安全和隐私保护的领域里,有时候我们需要对特定的程序或进程进行隐藏以增强系统的安全性或实现某些高级功能。这里,我们要介绍的是一个名为 HideProcess 的开源项目,它提供了一种简单而高效的方式来隐藏 Windows 系统中的进程。 项目简介 H...
驱动级!进程隐藏-按键精灵过检】驱动级,内核级进程隐藏进程保护。实战效果演示,免费分享。
最新发布
luoqiaoliang的博客
05-20 839
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1548
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
驱动开发:DKOM 实现进程隐藏
CSDN
10-11 5493
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入。函数就无法遍历出被摘链的进程了,从而实现进程隐藏
驱动开发:内核无痕隐藏自身分析
热门推荐
CSDN
10-24 1万+
在笔者前面有一篇文章通过摘除驱动的链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
驱动层SSDT 隐藏进程
ShadowAssassin的专栏
11-27 6436
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动隐藏进程程序。 要点:  在驱动隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏多个进程,在内核代码中创建一个链表,结构如下: //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s
windows10驱动 --- x64线程隐藏(一)
weixin_41725706的博客
11-05 1019
win10 x64 线程隐藏
隐藏进程 win10测试可用
04-23
可以完美隐藏进程,保护进程,保护文件,删除文件等功能,非常好用!
linux 内核变量,与进程有关的内核变量
weixin_28932927的博客
05-09 126
PsActiveProcessHead 队列头 进程块的列表头PsIdleProcess EPROCESS 空闲进程块PsInitialSystemProcess...
Win64 驱动内核编程-21.DKOM隐藏和保护进程
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
隐藏程序运行方法及软件
12-24
搜了很多都不是,最后自己整理了一个包。里面有程序及使用介绍。可以在电脑上不知不绝的运行一个软件,让别人不能发现,就是杀毒软件也不能发现。因为使用的是合法的程序,不是病毒程序!
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
保护伞模块3.8新增驱动保护隐藏进程
08-15
版主为什么我论坛等级降低了? 不保证所有电脑能用,我同一个网吧测试,一个蓝屏一个不
隐藏进程工具非常好用
06-21
十分好用的隐藏进程工具,win7 64位 完美运行!十分好用的隐藏进程工具,win7 64位 完美运行!十分好用的隐藏进程工具,win7 64位 完美运行!
64位进程隐藏
04-27
64位进程隐藏工具,这个工具为简单版本。经测试,极少情况下会蓝屏
禁用 WIN7 X64内核保护驱动签名
05-04
这将允许加载未签名的X64驱动,挂钩NTOSKRNL,进程隐藏,等 如果有任何建议,或者问题?通过论坛与我联系! 如何卸载: -----------------------------------------------------------------------------------...
R0进程保护驱动源码_读写驱动_保护进程_R0进程保护驱动源码_zulu5fi_R0驱动读写
03-25
R0进程保护驱动源码 读写游戏内存,可以读写任意游戏进程信息,居家旅行必备工具
windows--实验1--操作系统功能认识.doc
12-22
a) 开机后,不要主动运行任何应用程序,按 Ctrl+Alt+Del 进入任务管理器,查看“进程”标签,记录任意个已经处于运行状态的进程。 b) 了解系统进程的主要职责,包括 system Idle Process、explorer、services、...
如何分析 CVE-2022-24521 Windows CLFS 本地提权漏洞?
03-25
CVE-2022-24521是Windows中的本地提权漏洞,影响Windows的CLFS(Common Log File System)驱动程序。该漏洞是由于CLFS驱动程序中存在的缺陷导致攻击者可以提升其进程的特权级别。 攻击者可以利用此漏洞在受感染的计算机上执行任意代码,绕过安全限制并获得系统管理员权限,以便进行高级攻击活动。 此漏洞是一个本地漏洞,攻击者需要在计算机上获得访问权限,才能利用此漏洞。如果攻击者不能访问计算机,则他们不能利用此漏洞。 建议用户尽快安装适当的安全补丁,以修复这个漏洞。如果暂时无法安装补丁,建议用户使用以下步骤加强安全措施: 1. 限制访问计算机的用户,并确保仅授予必要的访问权限。 2. 防止攻击者鱼塘式攻击,使用最新的反病毒软件和防火墙技术保护计算机。 3. 在敏感数据上加密存储,以防止数据泄露。 4. 使用最新的操作系统,软件和硬件,因为这些是对安全性最新漏洞可能会修复的要素。 5. 定期进行安全审查和升级,以确保计算机和数据得到最新的保护和防护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值