驱动层双机调试,文件保护,进程保护

最新推荐文章于 2024-05-23 17:01:09 发布
最新推荐文章于 2024-05-23 17:01:09 发布
阅读量1.8k 收藏 4
点赞数 3
分类专栏: 驱动 文章标签: 驱动 进程保护 文件保护 双机调试 VirtualKD-3.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobai_2511/article/details/70851054
版权

最近在驱动层 做了三个东西  

1、双机调试  win764 + 虚拟机win7 64  用的VirtualKD-3.0 (比串口那种通信好的多) 具体教程网上很多。

2、文件保护用的 minifliter,过程中,遇到的问题是用NT驱动加载minifilter 加载不上,用wdm驱动就能加载上。想要用NT 驱动加载上,需要创建服务之后,启动服务之前写注册表。具体方法参考这个链接  点击打开链接

3、进程保护,用的注册回调。ObRegisterCallbacks   
注意在进程保护中,这个函数是需要的     注册之前必须有这个操作

void BypassCheckSign(PDRIVER_OBJECT pDriverObj)
{
	UNREFERENCED_PARAMETER(pDriverObj);
	typedef struct _LDR_DATA                         			// 24 elements, 0xE0 bytes (sizeof)
	{
		struct _LIST_ENTRY InLoadOrderLinks;                     // 2 elements, 0x10 bytes (sizeof)
		struct _LIST_ENTRY InMemoryOrderLinks;                   // 2 elements, 0x10 bytes (sizeof)
		struct _LIST_ENTRY InInitializationOrderLinks;           // 2 elements, 0x10 bytes (sizeof)
		VOID*        DllBase;
		VOID*        EntryPoint;
		ULONG32      SizeOfImage;
		UINT8        _PADDING0_[0x4];
		struct _UNICODE_STRING FullDllName;                      // 3 elements, 0x10 bytes (sizeof)
		struct _UNICODE_STRING BaseDllName;                      // 3 elements, 0x10 bytes (sizeof)
		ULONG32      Flags;
	}LDR_DATA, *PLDR_DATA;


	PLDR_DATA ldr;
	ldr = (PLDR_DATA)(pDriverObj->DriverSection);
	ldr->Flags |= 0x20;
}

有问题 欢迎交流  QQ“745121731”

MrBai_2511
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TPdisabledebugger.zip_tp双机调试_双机调试_过tp_过tp保护驱动_过保护.sys
07-14
过TP驱动保护之禁止双机调试源码,修改Fuckdisabledebugger函数与TesSafe.sys
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 3万+
TP 是国内腾讯游戏一款比较流行的驱动保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
windows驱动DirProtect 实现保护目录文件
最新发布
xwzj264的专栏
05-23 151
实现了一个win驱动可支持任意windows系统。实现对目录的保护,包括:修改,查阅,删除等操作都可以实现。此时这个目录只能支持添加修改。当然可定制任意模式。二,目录被保护:protect_dir被保护。一,编译好驱动后,安装和启动。
Win10驱动开发2——双机调试
qq_41610493的博客
11-15 2906
主机安装Windbg 主机安装VMware \.\pipe\com_1 在虚拟系统中以管理员身份启动powershell,执行 bcdedit /enum 查看启动配置: bcdedit /set “{current}” bootmenupolicy Legacy //修改启动方式为Legacy bcdedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 //设置串口1为调试端口,波特率为115200
通过驱动保护进程方案 (Window )
houxian1103的博客
08-21 3507
驱动发现打开的进程句柄是我们要保护进程时,就去掉访问权限,使任何人都无法访问受保护进程。这个文件定义了主要功能处理程序IRP_MJ_*。具体来说,IRP_MJ_CREATE和IRP_MJ_CLOSE被IRP_MJ_WRITE处理。该文件定义handle_buffer_message处理从IRP_MJ_WRITE. 根据收到的命令,驱动程序将调用enable_protection或disable_protection。- 勾住SSDT的函数,如果用卡巴,就有点麻烦,因为它也是用这招,就看谁先取得了。
Windows文件保护功能原理探究
编程爱好者
08-25 820
 有的朋友会感到奇怪,为什么删除了系统文件夹下的文件,那些删除的文件又会隔几秒再次出现在系统文件夹下面呢?或者你想用一个假冒的同名文件替换系统文件夹下的文件却又被系统替换了回来,Windows是怎么实现这个功能的?(比如我们用一个假冒的taskmgr.exe,任务管理器来替换系统中的任务管理器,发现系统会自动恢复任务管理器)原来是Windows XP在一个特殊的地方备份了一份相同的文件,当Wi
易语言驱动文件保护模块
07-10
可以驱动保护文件和强删文件,适用64位系统 win7-win10
易语言驱动进程保护
08-21
易语言驱动进程保护源码系统结构:取变量地址_整数型_,驱动程序通信_,CreateFileA,DeviceIoControl,CloseHandle,FindWindowA,GetForegroundWindow,GetCurrentProcessId, ======程序集1 || ||------_启动子程序 || ||-...
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 ...4、保护指定进程的内存权限 5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
“ProtectProcess”很可能是一个实际的项目或源代码文件,目标是实现上述的进程保护功能。 综上所述,这些知识点涵盖了驱动程序开发、系统安全、进程控制和保护等方面,是Windows系统编程和安全领域的核心技术。...
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4689
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
过非法工具-进程驱动隐藏保护
11-29
过非法工具-进程驱动隐藏保护,驱动保护软件运行,谁用谁知道
实现程序在驱动面的保护;一份用于隐藏进程及其线程的rootkit驱动程序源代码.
12-22
实现程序在驱动面的保护;分享一份用于隐藏进程及其线程的rootkit驱动程序源代码.
C++,文件加密过滤驱动,文件保护程序
04-27
FileGuard 是一个文件保护程序,能对指定目录或指定文件进行监视并保护。主要功能有:删除保护,写保护,读保护,隐藏文件等。 组成文件: FileGuard.exe, FGHook.vxd, FGHelp.chm, 一个保护信息文件(默认为ProtFile.ini)。 使用时请确保前三个文件在同一目录下。 运行环境: IBM PC,Windows 9x/Me (NT下不能使用)
驱动加入执行文件保护
08-05 672
     近来发觉自己的软件被人破,心中甚是恼火,恼火当初没花时间在反破解上。    反正鄙人尽量琢磨了点驱动东东,心想加上点RING0的看你小样去破去。    这样吧,弄点狠的,如果有看官,也帮我琢磨下可行性。    1、启动方式上面,采用牺牲程序的方式,由加载(牺牲)程序做好初始化,包括:驱动加载,调试器检测,一旦通过立即和驱动通讯,由驱动解密牺牲程序中封装的资源,然后由驱动
过TesSafe反WinDbg双机调试
cqyczj的专栏
06-09 1244
貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。 正文: 在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。 先开ARK工具看看游戏干了什么。 从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSe
TP 游戏保护驱动调试视频教程
M-先生
03-29 2468
DXF TP 驱动保护的KiAttackProcess的处理 下载地址:http://115.com/file/c28xxeu6  DXF TP驱动保护的NtOpenProces-NtOpenThread的处理 下载地址:http://115.com/file/c28xxa5s  DXF TP驱动保护的SSDT-HOOK--处理  下载地址:http://115.com/file
教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
D_R_L_T的博客
04-02 1085
原文链接:https://bbs.pediy.com/thread-168023.htm我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题:(1)怎么样在64位的Windows7操作系统下实现进程保护? (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊!(3)...
64位驱动隐藏进程保护进程.e
11-23
64位驱动隐藏进程保护进程是指使用64位驱动程序来隐藏操作系统中的进程,并保护这些进程免受恶意软件或未授权访问的侵害。 首先,64位驱动可以通过修改内核数据结构来隐藏进程驱动可以通过直接访问内核内存,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值