驱动级别 进程隐藏pid

最新推荐文章于 2025-03-28 04:47:43 发布
最新推荐文章于 2025-03-28 04:47:43 发布
阅读量4k 收藏 5
点赞数
分类专栏: window内核驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/h1028962069/article/details/52103336
版权 


#ifndef CXX_DIRVERPROHIDE_H
#include "dirverprohide.h"
#endif

VOID
DriverUnload(__in struct _DRIVER_OBJECT *DriverObject)
{   
    KdPrint(("驱动卸载成功!"));


    KdPrint(("PID = %d", PsGetCurrentProcessId()));
}


NTSTATUS
DriverEntry(IN PDRIVER_OBJECT pDriverObj, IN PUNICODE_STRING pRegistryString)
{
    KdPrint(("驱动加载成功!"));

    KdPrint(("驱动是由 PID = %d 运行着!", PsGetCurrentProcessId()));

    // 通过EPROCESS枚举进程
    ULONG uNextEProcess = 0;
    ULONG uCurEProcess = 0;
    ULONG unote1 = 0;
    ULONG unote2 = 0;
    ULONG ubefore1 = 0;
    ULONG ubefore2 = 0;

    ULONG ulater1 = 0;
    ULONG ulater2 = 0;
    uCurEProcess = uNextEProcess = (ULONG)PsGetCurrentProcess() + 0x88;


    do
    {
        KdPrint(("进程名:%s\t\tPID:%d\r\n", 
            uNextEProcess-0x88+0x174, 
            *(PULONG)(uNextEProcess-0x88+0x84)));

        if(strstr((PCHAR)(uNextEProcess-0x88+0x174),
            "notepad.exe"))
        {

            unote1= *(PULONG)(uNextEProcess);
            unote2= *(PULONG)(uNextEProcess+4);

            ubefore1=*(PULONG)unote1 ;
            ubefore2=*(PULONG)(unote1+4);
            ulater1=*(PULONG)unote2;
            ulater2=*(PULONG)(unote2+4);

            //  ubefore2=unote2;
            //  ulater1=unote1;
            memcpy((void *)(unote1+4),(void *)&unote2,4);
            memcpy((void *)unote2,(void *)&unote1,4);

            //notepad 地址  *(PULONG)uNextEProcess)    *(PULONG)uNextEProcess+4)


            KdPrint(("ubefore1:%p ubefore2:%p\r\n",ubefore1,ubefore2));
            KdPrint(("unote1:%p unote2:%p\r\n",unote1,unote2));

            KdPrint(("ulater1:%p ulater2:%p\r\n",ulater1,ulater2));


            KdPrint(("发现记事本!"));
        }

        uNextEProcess = *(PULONG)(uNextEProcess);
    }
    while(uCurEProcess != uNextEProcess);



    do
    {
        KdPrint(("再次扫描进程名:%s\t\tPID:%d\r\n", 
            uNextEProcess-0x88+0x174, 
            *(PULONG)(uNextEProcess-0x88+0x84)));

        if(strstr((PCHAR)(uNextEProcess-0x88+0x174),
            "notepad.exe"))
        {

            KdPrint(("发现记事本,隐藏失败!"));
        }

        uNextEProcess = *(PULONG)(uNextEProcess);
    }
    while(uCurEProcess != uNextEProcess);


    pDriverObj->DriverUnload = DriverUnload;

    return 0;
}
(渗透测试后期)Linux进程隐藏详解
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
进程隐藏之从tasks与pid链表摘除
milu_Sec的博客
01-26 1237
何为tasks链表 何为PID 链,很容易理解和上手操作
驱动级别隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动级别隐藏进程源代码2)
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1796
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
驱动隐藏驱动 附带关闭PatchGuard功能 兼容w7~w11 64位系统
最新发布
DD90041的博客
03-28 121
驱动隐藏驱动 附带关闭PatchGuard功能 兼容w7~w11 64位系统
驱动隐藏进程
kktlxd的专栏
06-01 2931
FU_rootkit中有很多功能,先看了隐藏进程,,和以前在群里讨论的一样,windows调度的是线程,所以可以把要隐藏进程进程链中去掉,并不影响进程中的线程的调度和运行. FU_rootkit中的方法是先通过PsGetCurrentProcess(),(PsGetCurrentProcess returns a pointer to the process of the current
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
驱动隐藏进程
10-17
驱动级,对进程隐藏,需要的朋友,可以下载使用。
驱动隐藏保护进程
02-17
1. **系统内核级别隐藏**:将保护进程运行在系统内核层,使得只有拥有相应权限的程序才能访问。这通常涉及到系统调用的拦截和重定向,以及权限控制机制的优化。 2. **进程伪装**:将保护进程的标识信息(如进程...
揭秘驱动级保护:隐藏进程rootkit技术实现
根据给定文件信息,本文将对隐藏进程及其线程的Rootkit驱动程序源代码这一主题进行详细分析。首先,我们需要了解Rootkit的定义、它的工作机制,以及隐藏进程和线程的概念。然后,我们会探讨驱动程序在操作系统中的...
如何使用进程隐藏工具保障个人隐私安全
进程隐藏工具是一种用于在操作系统中隐藏进程的技术或软件,目的是不让这些进程显示在系统的任务管理器或其他进程查看工具中。通过隐藏进程,用户或恶意软件可以避开安全软件的检测,从而在不被发现的情况下运行。...
ring0驱动隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
ring0驱动隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
驱动隐藏进程(易语言).e
02-15
驱动隐藏进程
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
驱动层SSDT 隐藏进程
ShadowAssassin的专栏
11-27 6788
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动隐藏进程程序。 要点:  在驱动隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏多个进程,在内核代码中创建一个链表,结构如下: //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s
内核学习--驱动隐藏进程
weixin_34080903的博客
03-22 385
实在不好意思拿出手,都是人家玩烂的技术了。。。可我还是要学习。。。也给小白们科普了 原理: windows系统内核内部采用链表的方式将进程链起来。如果我们从链表中摘掉想要隐藏进程,那么一般的采用这种方式遍历进程的工具也就没有用处了。。也就达到我们的目的了。。悲哀的任务管理器。。。具体的就不记录了。。。(但是这种方法对现在的杀毒基本不起什么作用。。除了一些弱智杀毒软件。。。) 对内核数据结...
驱动隐藏
10-16 1508
 使用可怕的reloadandrun技术后,驱动基本上已经没有DriverObject这种可以枚举的东西,但是还有PEHeader和MZHeader,DosHeader 这三个东西,其实只要在reload后的DriverEntry中抹掉,添0或者添随机数是你的问题啦啦,另外还有一个特征点就是驱动内部的.pdb字符,这个也是可以XX掉的,此时内存中你已经没有任何特征可言了~~吼吼~~最后
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值