枚举和隐藏内核模块

最新推荐文章于 2025-05-14 16:34:35 发布
最新推荐文章于 2025-05-14 16:34:35 发布
阅读量1.2k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: 隐藏驱动 枚举驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/103894242

在 WIN64 上枚举内核模块有两种方法:使用 ZwQuerySystemInformation 的第 11 号功能(SystemModuleInformation)和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;
隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。

#include <ntddk.h>
#include <ntimage.h>

// dt _LDR_DATA_TABLE_ENTRY 
typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关心第一个  我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表 本驱动的驱动对象就是一个节点
	LIST_ENTRY InMemoryOrderLinks;//系统已经启动 没有被初始化 没有调用DriverEntry这个历程的时候 通过这个链表进程串接起来
	LIST_ENTRY InInitializationOrderLinks;//已经调用DriverEntry这个函数的所有驱动程序
	PVOID DllBase;
	PVOID EntryPoint;//驱动的进入点 DriverEntry
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;//驱动的满路径
	UNICODE_STRING BaseDllName;//不带路径的驱动名字
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union {
		LIST_ENTRY HashLinks;
		struct {
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union {
		struct {
			ULONG TimeDateStamp;
		};
		struct {
			PVOID LoadedImports;
		};
	};
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;
//系统所有程序 驱动对象里都有这个结构 是驱动对象的成员qudongduixiang1->DriverSection(PVOID DriverSection) 这个结构体在什么时候有的 io管理器在加载我们驱动的时候 
//调用DriverEntry这个历程的时候 把我们驱动对象也加入到系统的一个全局链表中 
//就是为了方便io管理器进行维护或者方便对象管理器进行维护 为了查找方便 这个全局链表呢 把系统所有驱动程序串起来就是连接起来

VOID EnumDriver(PDRIVER_OBJECT pDriverObject)
{
	PKLDR_DATA_TABLE_ENTRY entry = (PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
	PKLDR_DATA_TABLE_ENTRY firstEntry;
	ULONG64 pDrvBase = 0;
	KIRQL OldIrql;
	firstEntry = entry;
	while ((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstEntry)
	{
		DbgPrint("BASE=%p\tPATH=%wZ", entry->DllBase, entry->FullDllName);
		entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;
	}
}

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
///////////
//隐藏驱动

NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation
(
	IN ULONG	SystemInformationClass,
	OUT PVOID	SystemInformation,
	IN ULONG	Length,
	OUT PULONG	ReturnLength
);

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
	ULONG Unknow1;
	ULONG Unknow2;
	ULONG Unknow3;
	ULONG Unknow4;
	PVOID Base;
	ULONG Size;
	ULONG Flags;
	USHORT Index;
	USHORT NameLength;
	USHORT LoadCount;
	USHORT ModuleNameOffset;
	char ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION
{
	ULONG Count;//内核中以加载的模块的个数
	SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _KLDR_DATA_TABLE_ENTRY_64
{
	LIST_ENTRY64 InLoadOrderLinks;
	ULONG64 __Undefined1;
	ULONG64 __Undefined2;
	ULONG64 __Undefined3;
	ULONG64 NonPagedDebugInfo;
	ULONG64 DllBase;
	ULONG64 EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG   Flags;
	USHORT  LoadCount;
	USHORT  __Undefined5;
	ULONG64 __Undefined6;
	ULONG   CheckSum;
	ULONG   __padding1;
	ULONG   TimeDateStamp;
	ULONG   __padding2;
}KLDR_DATA_TABLE_ENTRY_64, *PKLDR_DATA_TABLE_ENTRY_64;


ULONG64 GetSystemModuleBase(char* lpModuleName)
{
	ULONG NeedSize, i, ModuleCount, BufferSize = 0x5000;
	PVOID pBuffer = NULL;
	PCHAR pDrvName = NULL;
	NTSTATUS Result;
	PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;
	do
	{
		//分配内存
		pBuffer = kmalloc(BufferSize);
		if (pBuffer == NULL)
			return 0;
		//查询模块信息  SystemModuleInformation
		Result = ZwQuerySystemInformation(11, pBuffer, BufferSize, &NeedSize);
		if (Result == STATUS_INFO_LENGTH_MISMATCH)
		{
			kfree(pBuffer);
			BufferSize *= 2;
		}
		else if (!NT_SUCCESS(Result))
		{
			//查询失败则退出
			kfree(pBuffer);
			return 0;
		}
	} while (Result == STATUS_INFO_LENGTH_MISMATCH);
	pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;
	//获得模块的总数量
	ModuleCount = pSystemModuleInformation->Count;
	//遍历所有的模块
	for (i = 0; i < ModuleCount; i++)
	{
		if ((ULONG64)(pSystemModuleInformation->Module[i].Base) >(ULONG64)0x8000000000000000)
		{
			pDrvName = pSystemModuleInformation->Module[i].ImageName + pSystemModuleInformation->Module[i].ModuleNameOffset;
			if (_stricmp(pDrvName, lpModuleName) == 0)
				return (ULONG64)pSystemModuleInformation->Module[i].Base;
		}
	}
	kfree(pBuffer);
	return 0;
}

//抹去pe头,参数:驱动对象
BOOL HideDriverFromPeHeader(PDRIVER_OBJECT pDriverObject)
{
	PMDL pHeaderMdl;
	PIMAGE_DOS_HEADER ImageDosHeader;
	PIMAGE_NT_HEADERS ImageNtHeaders;
	BYTE *ImageBaseShadow;
	ULONG ImageBase;
	DWORD dwLdrDataTableEntry = 0;
	BOOL bRetOK = FALSE;

	//判断当前的irql是否高于PASSIVE_LEVEL
	if (KeGetCurrentIrql() > PASSIVE_LEVEL)
	{
		return bRetOK;
	}
	//就是驱动的起始地址
	ImageBase = (ULONG)pDriverObject->DriverStart;
	__try
	{
		//判断是否是有效的pe文件内存
		ImageDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
		if (ImageDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
		{
			return bRetOK;
		}
		DbgPrint("ImageDosHeader  %x", (DWORD)ImageDosHeader);
		ImageNtHeaders = (PIMAGE_NT_HEADERS)(ImageBase + ImageDosHeader->e_lfanew);
		if (ImageNtHeaders->Signature != IMAGE_NT_SIGNATURE)
		{
			return bRetOK;
		}
		//到这里就得到了pe的nt结构体
		DbgPrint("ImageNtHeaders  %x", (DWORD)ImageNtHeaders);

		//利用MDL的方式来修改这个PE
		//创建映射
		pHeaderMdl = IoAllocateMdl((PVOID)ImageBase, ImageNtHeaders->OptionalHeader.SizeOfHeaders, FALSE, FALSE, NULL);
		if (pHeaderMdl)
		{
			//锁住KernelMode,IoWriteAccess
			MmProbeAndLockPages(pHeaderMdl, KernelMode, IoWriteAccess);  //锁住,避免被page out,直接会导致MmGetSystemAddressForMdl蓝屏  - -。
			MmMapLockedPagesSpecifyCache(pHeaderMdl, KernelMode, MmWriteCombined, NULL, FALSE, NormalPagePriority);

			//到这里呢,我们就得到了一个安全的可以操作的映射地址
			//我们对这个映射地址的操作,就相当于对xuetr的驱动基址进行操作一样
			//MDL的方式在SSDT那几节课已经说明
			ImageBaseShadow = MmGetSystemAddressForMdlSafe(pHeaderMdl, NormalPagePriority);
			if (ImageBaseShadow)
			{
				//得到pe头
				ImageDosHeader = (PIMAGE_DOS_HEADER)ImageBaseShadow;
				ImageNtHeaders = (PIMAGE_NT_HEADERS)(ImageBaseShadow + ImageDosHeader->e_lfanew);

				//整个PE头清零
				*(PUSHORT)ImageDosHeader = 0x00;
				*(PULONG)ImageNtHeaders = 0x00;

				//抹掉DriverObject结构的中的信息
				DbgPrint("pDriverObject:%08x\r\n", pDriverObject);

				*(PUSHORT)pDriverObject = 0;

				DbgPrint("Size:%d\r\n", pDriverObject->Size);

				//0x168,抹去,清零
				pDriverObject->Size = 0x0;
				pDriverObject->DriverStart = 0x0;
				pDriverObject->DriverSize = 0x0;
				bRetOK = TRUE;
			}
			//解除映射
			MmUnmapLockedPages(ImageBaseShadow, pHeaderMdl);
			MmUnlockPages(pHeaderMdl);
			IoFreeMdl(pHeaderMdl);
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		DbgPrint("PeHeader Error \r\n");
	}
	return bRetOK;
}


// 隐藏驱动
VOID HideDriver(PDRIVER_OBJECT pDriverObject)
{
	PKLDR_DATA_TABLE_ENTRY_64 entry = (PKLDR_DATA_TABLE_ENTRY_64)pDriverObject->DriverSection;
	PKLDR_DATA_TABLE_ENTRY_64 firstentry;
	ULONG64 pDrvBase = 0;
	KIRQL OldIrql;
	firstentry = entry;
	pDrvBase = GetSystemModuleBase("win32k.sys");
	while ((PKLDR_DATA_TABLE_ENTRY_64)entry->InLoadOrderLinks.Flink != firstentry)
	{
		if (entry->DllBase == pDrvBase)
		{
			//typedef struct LIST_ENTRY64 {
			//	ULONGLONG Flink;
			//	ULONGLONG Blink;
			//} LIST_ENTRY64;
			//typedef LIST_ENTRY64 *PLIST_ENTRY64;
			//le->Flink->Blink=le->Blink;
			//le->Blink->Flink=le->Flink;
			OldIrql = KeRaiseIrqlToDpcLevel();
			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Flink))->Blink = entry->InLoadOrderLinks.Blink;
			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Blink))->Flink = entry->InLoadOrderLinks.Flink;
			entry->InLoadOrderLinks.Flink = 0;
			entry->InLoadOrderLinks.Blink = 0;
			KeLowerIrql(OldIrql);
			DbgPrint("Remove LIST_ENTRY64 OK!");
			break;
		}
		//kprintf("%llx\t%wZ\t%wZ",entry->DllBase,entry->BaseDllName,entry->FullDllName);
		entry = (PKLDR_DATA_TABLE_ENTRY_64)entry->InLoadOrderLinks.Flink;
	}

	// 抹掉PE的文件信息
	if (HideDriverFromPeHeader(pDriverObject))
	{
		DbgPrint("HideDriverFromPeHeader failed!");
	}
	else
	{
		DbgPrint("HideDriverFromPeHeader success!");
	}
}

 

进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历隐藏,自己写的,希望大家批评指正,谢谢!
枚举内核模块
cqyczj的专栏
04-24 888
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie) {   NTSTATUS status = STATUS_SUCCESS;   ULONG   n       = 0;   ULONG   i       = 0;   PSYSTEM_MODULE_INFORMATIO
Ring3 Hook技术实战:隐藏进程的ZwQuerySystemInformation
最新发布
weixin_33622085的博客
05-14 606
在探讨恶意软件系统监控技术的领域,Ring3 Hook技术以其在非内核级权限下的灵活性强大的应用潜力而受到关注。本章节将对Ring3 Hook技术做一个基础的介绍,包括其定义、特点以及技术应用场景。Ring3 Hook,又称用户态钩子,是指在操作系统的用户级权限下对系统或应用程序的行为进行拦截的技术。通过对目标进程函数调用的钩挂,可以在不改变原程序代码的情况下,对程序的行为进行监控、记录甚至是改变原有逻辑。与内核级钩子相比,Ring3钩子具有较低的风险相对简单的实现过程。
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 3131
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
内核上项目【隐藏驱动
qq_45844442的博客
11-15 591
该项目主要功能是通过一个驱动程序将内置的另一个驱动程序进行解密自加载,最终实现加载的另一个驱动无法查到。整体主要分三个大的框架,自加载驱动、删除自身加载时的注册表、删除驱动自身文件。运用PE结构的知识拉伸一个驱动程序,并将其重定位表、导入表、cookie值(为了兼容win10)进行修复将自身驱动在注册时写入的的键值进行删除通过获取驱动程序文件对象,修改其对象的删除相关属性,最好调用ZwDeleteFile删除自身即可这是被隐藏驱动本身 DriverMode1.c 这是将上述驱动进行加密后放到的头文件 dl
内核学习--驱动隐藏进程
weixin_34080903的博客
03-22 391
实在不好意思拿出手,都是人家玩烂的技术了。。。可我还是要学习。。。也给小白们科普了 原理: windows系统内核内部采用链表的方式将进程链起来。如果我们从链表中摘掉想要隐藏的进程,那么一般的采用这种方式遍历进程的工具也就没有用处了。。也就达到我们的目的了。。悲哀的任务管理器。。。具体的就不记录了。。。(但是这种方法对现在的杀毒基本不起什么作用。。除了一些弱智杀毒软件。。。) 对内核数据结...
Win64 驱动内核编程-25.X64枚举隐藏内核模块
墨鱼菜鸡
12-18 290
X64枚举隐藏内核模块 在WIN64上枚举内核模块的人方法:使用ZwQuerySystemInformation的第11号功能枚举KLDR_DATA_TABLE_ENTRY中的InLoadOrderLinks双向链表;隐藏内核模块的通用方法是把指定的驱动对象从KLDR_D...
Windows内核驱动EPROCESS遍历进程模块
12-14
总的来说,"Windows内核驱动EPROCESS遍历进程模块"是一项深入的操作系统级任务,它可以帮助我们更好地理解监控系统运行状态,但同时也需要开发者具备高级的编程技能对系统安全的深刻理解。通过学习实践这一...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
在IT安全领域,隐藏进程、模块以及内存空间是高级攻击技术的一部分,这些技术通常被用于逃避检测防御机制。本文将深入探讨标题“MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏”所涉及的知识点,包括PEB...
易语言隐藏所有进程模块源码
06-02
"隐藏所有进程模块"是指在编程中实现一个功能,使得指定的进程或程序的所有模块(如DLL动态链接库)在系统中变得不可见,这通常涉及到系统级的操作进程管理。 在易语言中实现这一功能,你需要了解以下几个关键...
应用层枚举内核模块
maomao171314的专栏
07-20 454
EnumKernelModules
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
01-27
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
EnumDriver_Windows编程_驱动枚举_
10-04
驱动枚举驱动隐藏驱动编程。枚举系统内所有驱动枚举后可实现断链
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
驱动开发:实现内核级隐蔽自我分析
UkjUnity的博客
09-19 252
为了更好地隐藏保护驱动程序,可能需要采取更复杂的技术方法,例如使用根套接字(Rootkit)技术、使用加载回调函数来动态隐藏驱动等。此外,还应当注意遵循操作系统法律的规定,确保驱动程序的使用是合法且符合道德伦理的。总结起来,通过使用适当的技术方法,我们可以在驱动开发中实现内核级的无痕隐藏自我分析功能。然而,我们应当谨慎使用这些技术,并且始终遵守相关法律规定,以确保我们的行为是合法道德的。在驱动开发过程中,有时需要隐藏驱动程序的存在,以防止恶意软件或未经授权的分析人员发现分析驱动的内部机制。
操作系统内核模式下的进程隐藏技术
weixin_28771751的博客
12-12 946
本文还有配套的精品资源,点击获取 简介:标题“Hide Process”讨论了在操作系统内核级别实现进程隐藏的技术,特别是涉及Windows驱动程序开发。进程隐藏的目的是使特定的进程在任务管理器或其他工具中不可见,这在安全隐私保护方面有其合法用途,但也可能被用于恶意目的。技术实现涉及修改系统注册表、利用系统API、内核模式驱动编程、权限控制、代码注入等方法。本技术要点旨在...
隐藏驱动完整攻略(猥琐篇)
blackbean的专栏
09-20 4613
基础篇里说的那些东西搞完以后,任何正常的位置都找不到我们的Driver了,此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且,基础篇讲的那些东西,因为都是M$定好的一些格式位置,代码怎么写都差不多,固定的路子而已。而抹PE镜像或抹DriverObjec
易语言隐藏进程枚举技术源码分享
3. 易语言支持模块化编程,允许开发者使用现成的模块自定义模块来扩展功能。 本资源涉及的“枚举隐藏进程”是一个较为高级的系统级编程任务,需要对操作系统的进程管理机制有较为深入的了解。在Windows操作系统中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值