[科普]如何在内核里隐蔽运行代码
注意:这篇科普不是什么“新科技”,而是老生常谈。在内核里隐蔽执行代码,总体来说分为两类:隐藏驱动和“以BUFFER形式加载驱动”。一、“五毛”技术:隐藏驱动并把DriverSection置零
隐藏驱动的基本手段是断链,这个大家都知道,可惜这样子不能过流行ARK(比如PCHUNTER)。网上有个老文章提出,可以自己去抹掉目录对象里的数据,再把PE头抹掉。这么做不是不行,但是这么做,不但硬编码多,而且影响驱动稳定性。其实有个简单的方法,代码就一行,即可让驱动从PCHUNTER的驱动列表里消失,对于其它ARK,即使搜索到了可疑驱动,也无法显示驱动路径:**** Hidden Message *****这样子隐藏驱动虽然很爽,但是有个严重的后果,就是不支持新系统:**** Hidden Message *****
二、高级技术:以BUFFER形式加载驱动
由于上述方法的严重后果,所以必须另辟蹊径。以BUFFER形式加载驱动,就是你自行把驱动文件给映射到内核并执行,替代系统自带的驱动加载函数。由于这一切都是你自己做的,自然无论用任何手段都找不到你的驱动了,也就达到了过任何检测隐藏驱动目的。这还有个额外的好处,就是驱动文件不落地(落地的只有驱动加载器),防止被竞争对手分析功能驱动。说到这里,估计有人要忍不住要去抄某些“国牛”在前几年在放的含坑代码了。其实真的不必,有个非常好的项目可以抄:**** Hidden Message *****但是,看到这里也暂时不要欢欣鼓舞,因为无论是方法一还是方法二,都有个麻烦的问题:**** Hidden Message *****估计肯定有人想问“有可以避免麻烦问题的方法吗”?答案是有的,估计乱七八糟的方法很多。我自己也想到了一个,并于用在了公司产品上,但限于“保守商业秘密”的原则就不公开了。 双击666 第一次抢到沙发.... 学习学习~~ 感谢分享~~ 麻烦问题 学习 谢谢分享.学习 前排学习,另出租此楼的广告位,嘿嘿嘿 感谢分享! 高科技 ? 来学习学习来学习学习
感谢分享! 谢谢分享~~~ 谢谢 学习学习 前来看看,姿势 好资料 来看看你是怎么搞的 哈哈 难道你们使用blackbone是没有遇到其他奇怪的事情? 看看黑科技 观望下 可以的,学习一下. TA每次的文章都可以好好的研究 7 - 1,7 - 1,7 - 1。感谢分享 谢谢分享.学习 看下。。。新手路过 看看,谢谢分享~~~ 感谢分享,学习了 围观来~~~,话说这方法被应用在某P的XXOO驱动 看一下看看 虽是老东西但是对于新手仍然是学习的好资料 学习一下~