紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 41068|回复: 191

[科普]如何在内核里隐蔽运行代码

  [复制链接]

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2017-6-18 13:45:43 | 显示全部楼层 |阅读模式
注意:这篇科普不是什么“新科技”,而是老生常谈。
在内核里隐蔽执行代码,总体来说分为两类:隐藏驱动“以BUFFER形式加载驱动”

一、“五毛”技术:隐藏驱动并把DriverSection置零
隐藏驱动的基本手段是断链,这个大家都知道,可惜这样子不能过流行ARK(比如PCHUNTER)。网上有个老文章提出,可以自己去抹掉目录对象里的数据,再把PE头抹掉。这么做不是不行,但是这么做,不但硬编码多,而且影响驱动稳定性。其实有个简单的方法,代码就一行,即可让驱动从PCHUNTER的驱动列表里消失,对于其它ARK,即使搜索到了可疑驱动,也无法显示驱动路径:
游客,如果您要查看本帖隐藏内容请回复
这样子隐藏驱动虽然很爽,但是有个严重的后果,就是不支持新系统:
游客,如果您要查看本帖隐藏内容请回复

二、高级技术:以BUFFER形式加载驱动
由于上述方法的严重后果,所以必须另辟蹊径。以BUFFER形式加载驱动,就是你自行把驱动文件给映射到内核并执行,替代系统自带的驱动加载函数。由于这一切都是你自己做的,自然无论用任何手段都找不到你的驱动了,也就达到了过任何检测隐藏驱动目的。这还有个额外的好处,就是驱动文件不落地(落地的只有驱动加载器),防止被竞争对手分析功能驱动。说到这里,估计有人要忍不住要去抄某些“国牛”在前几年在放的含坑代码了。其实真的不必,有个非常好的项目可以抄:
游客,如果您要查看本帖隐藏内容请回复
但是,看到这里也暂时不要欢欣鼓舞,因为无论是方法一还是方法二,都有个麻烦的问题:
游客,如果您要查看本帖隐藏内容请回复
估计肯定有人想问“有可以避免麻烦问题的方法吗”?答案是有的,估计乱七八糟的方法很多。我自己也想到了一个,并于用在了公司产品上,但限于“保守商业秘密”的原则就不公开了。

76

主题

267

帖子

9

精华

贵宾会员

Rank: 2Rank: 2

积分
15599
发表于 2017-6-18 14:11:38 | 显示全部楼层
双击666

4

主题

42

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
249
发表于 2017-6-18 14:11:51 | 显示全部楼层
第一次抢到沙发....

1

主题

36

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
274
发表于 2017-6-18 14:12:29 | 显示全部楼层
学习学习~~ 感谢分享~~

1

主题

57

帖子

1

精华

贵宾会员

Rank: 2Rank: 2

积分
2075
发表于 2017-6-18 14:13:42 | 显示全部楼层
麻烦问题

0

主题

9

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
113
发表于 2017-6-18 14:14:13 | 显示全部楼层
学习

0

主题

7

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
41
发表于 2017-6-18 14:15:49 | 显示全部楼层
谢谢分享.学习

0

主题

8

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
40
发表于 2017-6-18 14:17:51 | 显示全部楼层
前排学习,另出租此楼的广告位,嘿嘿嘿

0

主题

29

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
87
发表于 2017-6-18 14:21:40 | 显示全部楼层
感谢分享!

8

主题

76

帖子

0

精华

钻石会员

Rank: 6Rank: 6

积分
4115
发表于 2017-6-18 14:23:22 | 显示全部楼层
高科技 ?
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-28 19:31 , Processed in 0.030256 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表