关于驱动隐藏那点事(不触发PG 支持win10)

最新推荐文章于 2023-04-22 19:23:01 发布
最新推荐文章于 2023-04-22 19:23:01 发布
阅读量2.5k 收藏 9
点赞数
分类专栏: VC++ 文章标签: 更新:支持seh 原理自己逆下 将seh挂到其它模块上而已.

转:https://blog.csdn.net/zhuhuibeishadiao/article/details/75658816

代码:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx

 

更新:支持seh,原理自己逆下 将seh挂到其它模块上而已.

看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了.

没必要藏着,人生没有必要为这些小玩意小打小闹。

看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊!

还有半年来也没怎么发博客,惭愧惭愧。

 


驱动隐藏 最经典的就是断链来一发
但是这个不行 原因我就不说了

网上有的方法
1.断链
2.BufferDriverLoader?(自行google github blackbone)
3.pDriverObject->DriverSection = NULL;

其中1 3 触发PG 2会导致异常处理出错 并且很多函数不能使用

那么有没有什么方法不触发PG 又能隐藏驱动呢

答案是有的

当驱动加载时 会将驱动信息加入那个链表
那么可不可以阻止这个加入的过程呢?

答案是可以的

这个函数是
"MiProcessLoaderEntry"
这个函数将驱动信息加入链表和移除链表

为什么不触发PG?
根据patchguard v3中说法 是因为pg监控其中的某个全局变量 具体忘了 有兴趣自行百度google
此函数也处理这个全局变量 所以没有问题~

函数原型?
MiProcessLoaderEntry(pDriverObject->DriverSection, 0);// 移除
MiProcessLoaderEntry(pDriverObject->DriverSection, 1);// 添加

调用MiProcessLoaderEntry(pDriverObject->DriverSection, 0);
PCHunter显示为红色~

能不能完全隐藏?

    pTargetDriverObject->DriverSection = NULL;

    // 破坏驱动对象特征
    pTargetDriverObject->DriverStart = NULL;
    pTargetDriverObject->DriverSize = NULL;
    pTargetDriverObject->DriverUnload = NULL;
    pTargetDriverObject->DriverInit = NULL;
    pTargetDriverObject->DeviceObject = NULL;

 
 

冰雪满天
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x64 antidebug 不触发PG 补充代码
落笔飞花笑百生的博客
08-05 3145
因为搬家了  还有 板砖很忙 没办法 工头都懂得的~~~~ 先说antiantidebug 都知道 32位的驱动保护  不用VT说白了就是 HOOK过来 HOOK过去  比的是谁的 钩子深  谁的 钩子更多~~~~ 然而 64位呢 很多保护 例如TP/HP/HS 基本就是驱动几个callbacks 应用层 几个钩子 反调试  模拟一场等等    我的 PASS方法呢 例如TP钩子 KIuse
Windows10 Ring0下过PatchGuard隐藏进程
zcy5157912的博客
03-19 343
Windows10 x64亲测可用
[windows 驱动开发] 不触发 PG 的 Object Protect
LYSM
04-13 997
首先,最高效的应该是这种办法,但是最不稳定的也是这种办法。 虽然不会触发 PG ,但是由于调用方太多了,所以动不动炸进程或者蓝屏。 进程对象(EPORCESS)->PsProcessType 线程对象(PETHREAD)->PsThreadType 文件对象(FileObject)->IoFileObjectType … 具体流程不分析大概是这样,创建对象->Ob插入对象->系统访问(对象,这些对象是分配出来的不归PG管理)->根据对象Index->寻找对应Ob回调
进程隐藏的各种方法 以及分析比较以及实现链接
hnust_xiehonghao的专栏
04-08 1万+
一、最为古老的DLL注入方法。   虽说古老,但也经历了不少变动,最初的win9X的系统没有Psapi,没有进程快照,所以一般是三级跳。跳啊跳……NT下可以直接用OpenProcess打开进程(打不开的话,提权到Debug权限),利用LoadLibrary,并且申请远程地址空间,然后把DLL注入到目标EXE进程当中,可谓省时省力,这也是目前应用作为普遍的方法之一。
驱动隐藏
05-06
KmdTutCN级别的隐藏代码
完美支持Win 10的Magic Mouse 2 和 Magic TrackPad 2 驱动
11-09
标题中的“完美支持Win 10的Magic Mouse 2 和 Magic TrackPad 2 驱动”指的是针对苹果公司的Magic Mouse 2和Magic TrackPad 2这两款输入设备,在Windows 10操作系统上的专用驱动程序。这两款设备原本是为macOS设计的...
win10可用msp430驱动
02-13
总的来说,MSP430驱动Win10中的适配问题主要涉及USB通信接口的驱动支持。通过了解驱动的工作原理,选择正确的驱动类型,以及尝试不同的解决策略,开发者通常能够克服这些问题,继续进行MSP430的开发工作。对于初学...
TL-WN821N win8 Win10 驱动
10-06
标题中的“TL-WN821N win8 Win10 驱动”指的是TP-Link公司的TL-WN821N无线网卡在Windows 8和Windows 10操作系统上的驱动程序。这款驱动程序是确保无线网络适配器与操作系统兼容并能正常工作的关键组件。 TP-Link TL...
win7 64进程隐藏不蓝屏不崩溃
04-10
"win7 64进程隐藏不蓝屏不崩溃"这个主题就是关于如何在Windows 7 64位系统中安全、稳定地隐藏进程,以避免对操作系统造成负面影响。 首先,了解什么是进程。在计算机术语中,进程是正在执行的程序实例,每个进程都...
patch pg 支持win7 -- win10
04-04
干掉 pg 支持win7 -- win10。动态干掉的。相对666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666666
绕过PG和DSE的代码
04-23
静态过PG 通用补丁过保护和驱动程序签名强制禁用 UPGDSED Universal PatchGuard and Driver Signature Enforcement Disable
过非法工具-进程驱动隐藏保护
11-29
过非法工具-进程驱动隐藏保护,驱动级保护软件运行,谁用谁知道
人工智能-项目实践-嵌入式-嵌入式的按键驱动支持单击、连击、长按、连续触发、组合键.zip
最新发布
12-27
人工智能-项目实践-嵌入式-嵌入式的按键驱动支持单击、连击、长按、连续触发、组合键 概述 嵌入式领域,C语言编写的按键驱动。 两种类型 独立按键 组合键 2种状态 按下、弹起 9类件 组合键、按压、弹起、单击...
DKOM隐藏驱动
weixin_33919941的博客
08-31 196
DKOM(Direct Kernel Object Manipulation)就是直接内核对象操作技术。所有的操作系统都在内存中存储记账信息,他们通常采用结构或对象的形式,由对象管理器管理。当用户空间进程请求操作系统信息例如进程、线程或设备驱动程序列表时,这些对象被报告给用户。这些对象或结构位于内存中,因此可以直接对其进行修改。隐藏进程主要关注的windows关键数据结构是:...
驱动隐藏模块
qq_45844442的博客
04-22 448
以下代码为驱动隐藏代码,代码比较简单,只需要修改一下PsCreateSystemThread函数最后一个成员,改为自己的驱动名称就可以了(注意不加后缀),这份代码与很多网上的相似,但是当我用网上的代码运行时各种蓝屏,不是少写了个取地址就是IoDriverObjectType没有声明为指针的指针,于是修复了他们写的bug。
[驱动开发] 驱动隐藏 - driveEntry返回失败
LYSM
06-10 1367
常见隐藏驱动的方式: 驱动模块断链 调用MiProcessLoadEntry删除驱动对象(据说不会触发PG) 清理MmUnloadDriver List 和 PiDDBCacheTable两处 driveEntry返回失败 驱动模块加载后立即卸载 今天介绍一种driveEntry返回失败隐藏驱动的方法 —— DriverEntry返回失败 原理 windows会根据DriverEntry的返回值判断驱动是否加载成功。如果返回成功,会在注册表详细记录,并将sys文件复制到System32/drivers
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
电力电子器件驱动与晶闸管触发电路解析
"本文档详细介绍了电力电子器件的驱动,特别是晶闸管的触发电路。主要内容涵盖了电力电子器件驱动电路的基本概念、晶闸管的触发条件以及驱动电路的分类和设计要点。" 电力电子器件的驱动是电力技术中的关键环节,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值