内核驱动隐藏自身【断链】

最新推荐文章于 2024-12-09 15:36:53 发布
最新推荐文章于 2024-12-09 15:36:53 发布
阅读量1.3k 收藏 9
点赞数 2
CC 4.0 BY-SA版权
文章标签: c++ 内核 驱动程序
By Rose
本文链接:https://blog.youkuaiyun.com/qq_41963135/article/details/122827035

内核驱动加载断链式隐藏自身

//创建一个驱动对象数据结构
typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY64 InLoadOrderLinks;//关键链
	ULONG64 Undefined1;
	ULONG64 Undefined2;
	ULONG64 Undefined3;
	ULONG64 NonPagedDebugInfo;
	ULONG64 DllBase;
	ULONG64 EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG   Flags;
	USHORT  LoadCount;
	USHORT  Undefined5;
	ULONG64 Undefined6;
	ULONG   CheckSum;
	ULONG   padding1;
	ULONG   TimeDateStamp;
	ULONG   padding2;
}KLDR_DATA_TABLE_ENTRY, * PKLDR_DATA_TABLE_ENTRY;

//驱动入口代码
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath){
	//声明必要结构list获取自身对象结构
	PKLDR_DATA_TABLE_ENTRY list = (PKLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;
	//断链操作,上一个对象等于下一个,下一个等于上一个对象,达到把自己隐藏起来的目的
	*((ULONGLONG*)list->InLoadOrderLinks.Blink) = list->InLoadOrderLinks.Flink;
	((LIST_ENTRY64*)list->InLoadOrderLinks.Flink)->Blink = list->InLoadOrderLinks.Blink;
	//下面关键,功能可以达到很多!前后断隐藏自身(头尾全断可以达到禁止任何程序加载驱动的目的,其他还有很多,这里只列出一个)
	list->InLoadOrderLinks.Flink = (ULONGLONG)&(list->InLoadOrderLinks);//Flink
	list->InLoadOrderLinks.Blink = (ULONGLONG)&(list->InLoadOrderLinks);//Flink
//操作完成返回OK
return STATUS_SUCCESS;
}
权限维持_Windows内核_驱动隐藏技术1
08-03
本文将探讨一种高级技术,即在Windows内核层面利用驱动隐藏来实现权限维持。这种技术涉及到对操作系统内核机制的深入理解和编程技巧。 首先,恶意驱动文件查找是整个过程的第一步。在红蓝对抗中,蓝队通常会...
易语言-进程隐藏隐藏易语言例程
06-25
隐藏是其中一种方法,它涉及到操作系统的内核级编程,尤其是与Windows系统的进程管理有关的部分。在Windows操作系统中,进程信息是通过系统进程表来维护的,而隐藏就是试图修改这个进程表,使得某个进程在...
HideDriver_hidedriver_TP_驱动隐藏_驱动隐藏_隐藏驱动
09-11
驱动隐藏 隐藏驱动驱动注册回调,可过TP双击调试
驱动开发:隐藏驱动程序自身
热门推荐
优快云
10-14 1万+
隐藏进程功能类似,关于进程隐藏可参考`《驱动开发:DKOM 实现进程隐藏》`这一篇文章,隐藏驱动自身则用于隐藏自身SYS驱动文件,当驱动加载后那么使用ARK工具扫描将看不到自身驱动模块,此方法可能会触发PG会蓝屏,在某些驱动辅助中也会使用这种方法隐藏自己。
通过驱动隐藏驱动
Misaka10046的博客
07-12 3273
隐藏指定驱动 尝试隐藏这个驱动 #include <ntifs.h> typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY exp; ULONG un; ULONG NonPagedDebugInfo; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICO
隐藏进程
m0_75243362的博客
04-21 1277
新手windbg使用,入门内核
驱动 修改模块信息实现隐藏
qq_41490873的博客
04-19 731
#include "ntddk.h" HANDLE hThread; VOID DriverUnload(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动卸载成功\n"); } VOID ThreadRun( PVOID StartContext) { LARGE_INTEGER times; PDRIVER_OBJECT pDriverObje...
HideDriver_hidedriver_TP_驱动隐藏_驱动隐藏_隐藏驱动_源码.rar.rar
09-29
在计算机安全领域,驱动隐藏驱动隐藏技术是高级安全措施的关键组成部分。当系统的安全防护机制不足以应对日益复杂化的恶意软件时,这类技术便显得尤为重要。本文将深入探讨驱动隐藏技术以及驱动隐藏技术的...
进程隐藏隐藏例子-易语言
06-12
因此,对于64位系统,开发者可能需要采用其他隐藏进程的方法,如注入DLL、利用内核驱动或其他低级别的系统接口。 在提供的压缩包文件中,“易语言隐藏进程.e”应该是一个易语言编写的源代码文件,包含了实现上述...
驱动隐藏进程(eprocess
qq_43147121的博客
10-01 1363
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程在内核中存在一个双向表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个表中移除以达到隐藏进程的目的。
进程隐藏_r0_进程保护_进程隐藏_隐藏_驱动_
10-01
从进程表中摘除指定进程
HideDriver-master_HideDriver_HideDriver-master_驱动隐藏_隐藏驱动模块例子_源
09-11
驱动隐藏模块 Windows10 1903以下不触发PG
驱动模块隐藏源码.rar
09-25
纯源码,驱动源码,不是sys成品文件,而是sys驱动文件源代码,非常适合参考学习 是x64的,隐藏指定驱动sys,不被检测
驱动隐藏进程源码
12-26
驱动隐藏进程,vs2008编译,仅供参考
驱动的研究
最新发布
m0_68259687的博客
12-09 1115
那既然我们已经正确的找到这个双向表了,剩下的事情就好办多了,使用我们之前驱动篇基础里面介绍过的API来初始化一个Unicode字符串,然后用这个字符串去对比某个目标模块,如果一致,就按照的方式将其从双向表中删除,继续修改我们的代码。我们看见了第一个InLoadOrderLinks里面的双向表,所以我们用它给的Flink来访问表里面的下一个节点,由于我们的MyDriver2是最后一个加载的驱动,所以它的下一个也就是我们的第一个驱动,果不其然,是我们的内核。这是真正的掉了吗?
内核(ActiveProcessLinks)
qq_45844442的博客
06-23 434
3.在这个程序中没有直接使用EPROCESS+0xE8是为了兼容所有系统,而且通过搜寻特征的方法可以躲避各种检测。2.将其转换为大写匹配是否是目标程序,如果是则通过寻找目标EPROCESS结构体的。1.首先通过遍历所有的PID,使用。函数得到目标进程的全路径名称。
c语言隐藏dll,通过隐藏模块(DLL)
weixin_39658900的博客
05-20 868
主要是通过teb+peb实现模块隐藏// HideDll.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include DWORD g_isHide = 0;typedef struct _UNICODE_STRING{USHORT Length;U...
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2679
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向表(LIST_
掌握Windows驱动枚举技术实现驱动隐藏
然而,这也可能被恶意软件利用来进行隐藏自身,增加检测难度。 知识点4: 驱动编程 驱动编程是指编写运行在Windows内核模式下的代码,用以直接与硬件设备交互或控制系统的关键组件。驱动程序通常用来提供硬件设备的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Rose

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值