關於驅動隱藏那點事(不觸發PG 支援win10)
阿新 • • 發佈:2018-11-10
沒必要藏著,人生沒有必要為這些小玩意小打小鬧。
驅動隱藏 最經典的就是斷鏈來一發
但是這個不行 原因我就不說了
網上有的方法
1.斷鏈
2.BufferDriverLoader?(自行google github blackbone)
3.pDriverObject->DriverSection = NULL;
其中1 3 觸發PG 2會導致異常處理出錯 並且很多函式不能使用
那麼有沒有什麼方法不觸發PG 又能隱藏驅動呢
答案是有的
當驅動載入時 會將驅動資訊加入那個連結串列
那麼可不可以阻止這個加入的過程呢?
答案是可以的
這個函式是
"MiProcessLoaderEntry"
這個函式將驅動資訊加入連結串列和移除連結串列
為什麼不觸發PG?
根據patchguard v3中說法 是因為pg監控其中的某個全域性變數 具體忘了 有興趣自行百度google
此函式也處理這個全域性變數 所以沒有問題~
函式原型?
MiProcessLoaderEntry(pDriverObject->DriverSection, 0);// 移除
MiProcessLoaderEntry(pDriverObject->DriverSection, 1);// 新增
呼叫MiProcessLoaderEntry(pDriverObject->DriverSection, 0);
PCHunter顯示為紅色~
能不能完全隱藏?
pTargetDriverObject->DriverSection = NULL;
// 破壞驅動物件特徵
pTargetDriverObject->DriverStart = NULL;
pTargetDriverObject->DriverSize = NULL;
pTargetDriverObject->DriverUnload = NULL;
pTargetDriverObject->DriverInit = NULL;
pTargetDriverObject->DeviceObject = NULL;
看到某些哥們這搞搞那搞搞,BSOD PATCHGUARD 無語,WRK是個好東西啊!
還有半年來也沒怎麼發部落格,慚愧慚愧。
驅動隱藏 最經典的就是斷鏈來一發
但是這個不行 原因我就不說了
網上有的方法
1.斷鏈
2.BufferDriverLoader?(自行google github blackbone)
3.pDriverObject->DriverSection = NULL;
其中1 3 觸發PG 2會導致異常處理出錯 並且很多函式不能使用
那麼有沒有什麼方法不觸發PG 又能隱藏驅動呢
答案是有的
當驅動載入時 會將驅動資訊加入那個連結串列
那麼可不可以阻止這個加入的過程呢?
答案是可以的
這個函式是
"MiProcessLoaderEntry"
這個函式將驅動資訊加入連結串列和移除連結串列
為什麼不觸發PG?
根據patchguard v3中說法 是因為pg監控其中的某個全域性變數 具體忘了 有興趣自行百度google
此函式也處理這個全域性變數 所以沒有問題~
函式原型?
MiProcessLoaderEntry(pDriverObject->DriverSection, 0);// 移除
MiProcessLoaderEntry(pDriverObject->DriverSection, 1);// 新增
呼叫MiProcessLoaderEntry(pDriverObject->DriverSection, 0);
PCHunter顯示為紅色~
能不能完全隱藏?
pTargetDriverObject->DriverSection = NULL;
// 破壞驅動物件特徵
pTargetDriverObject->DriverStart = NULL;
pTargetDriverObject->DriverSize = NULL;
pTargetDriverObject->DriverUnload = NULL;
pTargetDriverObject->DriverInit = NULL;
pTargetDriverObject->DeviceObject = NULL;
Over ~
程式碼不貼 自己動手 豐衣足食。