windows10驱动 x64--- 驱动实现隐藏驱动模块(五)

于 2022-11-11 15:34:55 发布
阅读量669 收藏 5
点赞数
分类专栏: 驱动 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/127806538
版权

驱动实现隐藏驱动模块(五)

原理

每个驱动DriverObject->DriverSection存着个结构体LDR_DATA_TABLE_ENTRY
{
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID DllBase;
PVOID EntryPoint;
ULONG64 SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
}
双链表遍历前面已经文章已经很多次了

驱动代码 — 0环

#include "ntifs.h"
#include<wdm.h>

//extern PEPROCESS PsInitialSystemProcess;
NTSTATUS DriverUnload(PDRIVER_OBJECT DriverObject)
{
	DbgPrint("Driver Exit \r\n");
	return STATUS_SUCCESS;

}
typedef struct LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks; 
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG64 SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;

}DriverSectionObject, * pDriverSectionObject;



NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING Regedit)
{
	
	pDriverSectionObject SectionObject = (pDriverSectionObject)DriverObject->DriverSection;
	PLIST_ENTRY bmpDriverList = (PLIST_ENTRY)SectionObject->InLoadOrderLinks.Flink;

	SectionObject = (pDriverSectionObject)bmpDriverList;

	pDriverSectionObject tmpSectionObject = SectionObject;


	UNICODE_STRING UniString1;
	WCHAR* string1 = L"MyDriverHello.sys";
	RtlInitUnicodeString(&UniString1,string1);
	DbgPrint("DriverName:%wZ\n", &UniString1);

	//遍历内核驱动
	for (;;)
	{
		bmpDriverList = bmpDriverList->Flink;
		SectionObject = (pDriverSectionObject)bmpDriverList;
		DbgPrint("DriverName:%wZ\n", &SectionObject->BaseDllName);
		RtlEqualUnicodeString(&SectionObject->BaseDllName, &UniString1, TRUE);
		//相等等于1  不相等为 0 返回是char类型
		if (tmpSectionObject == SectionObject)
		{
			DbgPrint("结尾了");
			break;
		}
		if(RtlEqualUnicodeString(&SectionObject->BaseDllName,&UniString1,TRUE))

		{
		
			//内核驱动隐藏
			bmpDriverList->Flink->Blink = bmpDriverList->Blink;
			bmpDriverList->Blink->Flink = bmpDriverList->Flink;
			//过滤掉头指针 重新遍历
			bmpDriverList = bmpDriverList->Flink;
			for (;;)
			{
				bmpDriverList = bmpDriverList->Flink;
				SectionObject = (pDriverSectionObject)bmpDriverList;
				DbgPrint("DriverName:%wZ\n", &SectionObject->BaseDllName);
				RtlEqualUnicodeString(&SectionObject->BaseDllName, &UniString1, TRUE);
				if (tmpSectionObject == SectionObject)
				{
					DbgPrint("结尾了");
					break;
				}
			}
			break;

		}
	
	}





	DriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

总结

隐藏驱动–>MyDriverHello.sys
驱动加载前:可以看到MyDriverHello.sys
在这里插入图片描述
驱动加载后:看不到MyDriverHello.sys
在这里插入图片描述

weixin_41725706
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
离线注入驱动
07-03
PE下使用换主板无法系统删除驱动
驱动模块隐藏源码.rar
09-25
本资源"驱动模块隐藏源码.rar"提供的是一个x64架构下的驱动程序源代码,特别之处在于它包含了隐藏驱动模块的技术,使其能够避免被系统检测到。这对于那些需要深入理解驱动开发或者研究系统安全性的开发者来说,是一...
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2480
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
通过驱动断链来隐藏驱动
Misaka10046的博客
07-12 2877
隐藏指定驱动 尝试隐藏这个驱动 #include <ntifs.h> typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY exp; ULONG un; ULONG NonPagedDebugInfo; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICO
关于驱动隐藏那点事(不触发PG 支持win10)
热门推荐
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 2263
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
绕开驱动层检测的无痕注入
陈子青的博客
07-18 1370
搜了标题相关的文章既然没有?想要源码可私信~~~
shellcode注入驱动
SHELLCODE_8BIT的博客
02-21 2002
避坑 | Windows驱动签名经验贴 - FreeBuf网络安全行业门户
驱动开发:断链隐藏驱动程序自身
CSDN
10-14 1万+
与断链隐藏进程功能类似,关于断链进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,断链隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
windows10驱动 --- x64线程隐藏(一)
weixin_41725706的博客
11-05 1042
win10 x64 线程隐藏
驱动保护隐藏.ec
08-08
易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .子程序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某程序,并保护程序不被注入,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等程序,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .子程序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .子程序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64位WIn7,与所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .子程序 置格盘陷阱, 逻辑型, 公开 .子程序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .子程序 置死机陷阱, 逻辑型, 公开 .子程序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
做成dll的驱动隐藏进程
09-19
使用驱动隐藏进程,可做成dll供各种开发语言使用。提供原代码及测试代码。
HideDriver-master_HideDriver_HideDriver-master_驱动隐藏断链_隐藏驱动模块例子_源
09-11
驱动隐藏模块 断链 Windows10 1903以下不触发PG
易语言的驱动隐藏模块
04-17
呵呵。阿斯达斯阿萨德阿萨德阿萨德阿萨德阿斯达岁的阿萨德阿萨德阿萨德阿斯的
15.隐藏模块驱动.mp4
09-10
windows x64驱动程序开发 15.隐藏模块驱动
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
本文将深入探讨这个项目的核心概念、技术实现以及它在Windows 10环境中的应用。 首先,我们来理解“保护驱动”是什么。保护驱动通常是指运行在操作系统内核层的程序,它们拥有更高的权限,能够对系统资源进行直接...
STM32F103实现FATFS文件管理【支持STM32F10X系列单片机】
11-22
3. **HAL库驱动**:HAL(Hardware Abstraction Layer)是STM32的高级抽象层库,它进一步简化了驱动开发,将硬件细节隐藏,让开发者可以专注于应用逻辑。使用HAL库,开发者无需关心具体的外设配置,只需调用预定义的...
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
`x64`表明这可能是针对64位操作系统的代码,而`Debug`目录则可能包含了调试版本的输出文件,供开发者测试和调试用。 总的来说,这个话题涉及的是高级的系统编程和安全技术,包括但不限于内核级编程、驱动开发和恶意...
win7-32、驱动模块遍历、驱动模块隐藏
Windows内核学习笔记
07-08 876
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
三菱MELSERVO-JE伺服驱动器报警代码.pdf
最新发布
03-30
三菱MELSERVO-JE伺服驱动器报警代码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值