设为首页收藏本站
切换到宽版

龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷»龙马谷论坛 技术专区 驱动开发技术 64位系统下7行代码隐藏驱动,不触发PG。 ...
龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
返回列表 发新帖
查看: 11376|回复: 0

64位系统下7行代码隐藏驱动,不触发PG。

[复制链接]
zjh7272

34

主题

1

回帖

82

积分

编程入门

Rank: 1

龙马币
470
zjh7272 | 显示全部楼层 |阅读模式

思路来源是CSDN的一位大佬,不过他的文章中只提到了关键函数,没有贴出代码,于是乎,自己动手~

  1. extern "C" NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(ULONG SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength);

  3. typedef struct _KLDR_DATA_TABLE_ENTRY {
  4.     LIST_ENTRY InLoadOrderLinks;
  5.     PVOID ExceptionTable;
  6.     ULONG ExceptionTableSize;
  7.     PVOID GpValue;
  8.     ULONG UnKnow;
  9.     PVOID DllBase;
  10.     PVOID EntryPoint;
  11.     ULONG SizeOfImage;
  12.     UNICODE_STRING FullDllName;
  13.     UNICODE_STRING BaseDllName;
  14.     ULONG Flags;
  15.     USHORT LoadCount;
  16.     USHORT __Unused5;
  17.     PVOID SectionPointer;
  18.     ULONG CheckSum;
  19.     PVOID LoadedImports;
  20.     PVOID PatchInformation;
  21. } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

  23. typedef struct _SYSINFO {
  24.     ULONG U;
  25.     PVOID X[2];
  26.     PVOID BaseAddress;
  27.     PVOID Size;
  28. } SYSINFO, *PSYSINFO;

  30. typedef VOID(*_MiProcessLoaderEntry)(IN PKLDR_DATA_TABLE_ENTRY DataTableEntry, IN LOGICAL Insert);

  32. VOID HideDriver(PDRIVER_OBJECT DriverObject, ULONG Offset) {
  33.     ULONG NeededSize;
  34.     PSYSINFO SysInfo = (PSYSINFO)&SysInfo;
  35.     ZwQuerySystemInformation(11, NULL, 0, &NeededSize);
  36.     SysInfo = (PSYSINFO)ExAllocatePool(PagedPool, NeededSize);
  37.     ZwQuerySystemInformation(11, SysInfo, NeededSize, NULL);
  38.     _MiProcessLoaderEntry MiProcessLoaderEntry = (_MiProcessLoaderEntry)((PUCHAR)SysInfo->BaseAddress + Offset);
  39.     MiProcessLoaderEntry((PKLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection, 0);
  40. }
复制代码

其中HideDriver函数就是主要代码啦,一共7行(诚实的楼主)。

第二个参数是版本偏移(其实就是硬编码= =我自己通过IDA找出来的)
Win7 32位是 0x761D7 ,Win7 64位是 0x16A1D0 ,Win10 64位是 0x18AD8 。

我根据多份系统样品的IDA分析,这个常量应该是不会变的,其中Win10的截至1809Preview(build 17713)暂未改变。

结构体KLDR_DATA_TABLE_ENTRY来自百度。
结构体SYSINFO为自创,网上找的定位ntoskrnl基址的代码都太繁琐或者兼容性差,so我自己改了一下~
在卸载驱动之前必须恢复隐藏,也就是再调用一次函数,第二个参数由0改成1。
我这个方法隐藏驱动后一切正常,不触发PG,可以与应用层通信,也可以FltRegisterFilter等。

但如果按照原文中说的执行DriverObject->DriverSection = NULL后会出问题(在MajorFunction[IRP_MJ_DEVICE_CONTROL]函数中执行的),
不知道是不是我注册了MiniFilter导致的-_-...

--------------------------------------------
好了,本小白继续去钻研WSK去了(⊙o⊙)…


回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
关闭

会员办理

售后客服

技术支持

工作时间:9:00-22:00

在线客服
快速回复 返回顶部 返回列表