[分享] 64位系统下7行代码隐藏驱动，不触发PG-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享] 64位系统下7行代码隐藏驱动，不触发PG

发表于: 2018-8-25 00:54 13715

[分享] 64位系统下7行代码隐藏驱动，不触发PG

古月浪子

2018-8-25 00:54

13715

思路来源是CSDN的一位大佬：047K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4A6Z5N6h3S2#2K9h3u0W2K9i4y4Z5j5h3c8A6j5h3!0Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0M7#2y4U0f1^5z5o6p5$3

不过他的文章中只提到了关键函数，没有贴出代码，于是乎，自己动手~

extern "C" NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(ULONG SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength);

typedef struct _KLDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	PVOID ExceptionTable;
	ULONG ExceptionTableSize;
	PVOID GpValue;
	ULONG UnKnow;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT __Unused5;
	PVOID SectionPointer;
	ULONG CheckSum;
	PVOID LoadedImports;
	PVOID PatchInformation;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

typedef struct _SYSINFO {
	ULONG U;
	PVOID X[2];
	PVOID BaseAddress;
	PVOID Size;
} SYSINFO, *PSYSINFO;

typedef VOID(*_MiProcessLoaderEntry)(IN PKLDR_DATA_TABLE_ENTRY DataTableEntry, IN LOGICAL Insert);

VOID HideDriver(PDRIVER_OBJECT DriverObject, ULONG Offset) {
	ULONG NeededSize;
	PSYSINFO SysInfo = (PSYSINFO)&SysInfo;
	ZwQuerySystemInformation(11, NULL, 0, &NeededSize);
	SysInfo = (PSYSINFO)ExAllocatePool(PagedPool, NeededSize);
	ZwQuerySystemInformation(11, SysInfo, NeededSize, NULL);
	_MiProcessLoaderEntry MiProcessLoaderEntry = (_MiProcessLoaderEntry)((PUCHAR)SysInfo->BaseAddress + Offset);
	MiProcessLoaderEntry((PKLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection, 0);
}

其中HideDriver函数就是主要代码啦，一共7行（诚实的楼主）。

第二个参数是版本偏移（其实就是硬编码= =我自己通过IDA找出来的），Win7 32位是 0x761D7 ，Win7 64位是 0x16A1D0 ，Win10 64位是 0x18AD8 。我根据多份系统样品的IDA分析，这个常量应该是不会变的，其中Win10的截至1809Preview（build 17713）暂未改变。

结构体KLDR_DATA_TABLE_ENTRY来自百度。

结构体SYSINFO为自创，网上找的定位ntoskrnl基址的代码都太繁琐或者兼容性差，so我自己改了一下~

在卸载驱动之前必须恢复隐藏，也就是再调用一次函数，第二个参数由0改成1。

我这个方法隐藏驱动后一切正常，不触发PG，可以与应用层通信，也可以FltRegisterFilter等。但如果按照原文中说的执行DriverObject->DriverSection = NULL后会出问题（在MajorFunction[IRP_MJ_DEVICE_CONTROL]函数中执行的），不知道是不是我注册了MiniFilter导致的-_-...

--------------------------------------------

好了，本小白继续去钻研WSK去了(⊙o⊙)…

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・47

免费・1

支持

最新回复 (14)
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 2 楼 f1fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6q4)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3X3c8Q4x3X3c8Q4x3U0k6Y4N6q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0p5d9@1!0y4i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5k6q4)9J5k6q4)9J5y4X3N6@1i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7X3S2@1N6s2m8K6i4K6y4m8i4K6u0r3i4K6u0r3k6$3W2@1K9s2g2T1i4K6u0W2j5$3!0E0i4K6u0r3h3X3S2#2d9s2g2A6b7X3g2A6f1$3S2S2c8r3W2S2L8#2)9J5c8V1&6W2N6@1S2A6k6r3g2p5M7X3W2$3k6i4u0q4P5l9`.`. 我基本都汇总了 2018-8-25 01:09 0
古月浪子雪币： 2257 活跃值： (2410) 能力值： ( LV12，RANK：243 ) 在线值：发帖 13 回帖 23 粉丝 29 关注私信	古月浪子 3 楼安于此生 9c3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 大佬666，原来早有人整理了，怪我太晚才看到他的博客不过大佬你的动态搜索代码太冗长了，而且从性质上来说也是硬编码，我只是分享一下自己写的较简洁的代码 2018-8-25 01:32 0
zhatian 雪币： 6926 活跃值： (4572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 243 粉丝 20 关注私信	zhatian 4 楼有开源的，而且处理的很不错。你浪费了太多时间了。你缺少人和你交流把。 2018-8-25 03:55 0
zaimongli 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	zaimongli 5 楼看这里,这个是真正的大佬.里面的代码都是吊吊吊的,不用你再去csdn那种地方找了, 0e1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6C8K9h3I4D9N6Y4S2C8 嘿嘿 2018-8-25 07:07 0
layerfsd 雪币： 8197 活跃值： (3312) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 8 关注私信	layerfsd 4 6 楼支持楼主发帖分享 2018-8-25 10:45 0
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 7 楼安于此生 cc9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 我以前不明白什么叫做应有尽有，直到看到您的分享 2018-8-25 10:46 0
古月浪子雪币： 2257 活跃值： (2410) 能力值： ( LV12，RANK：243 ) 在线值：发帖 13 回帖 23 粉丝 29 关注私信	古月浪子 8 楼 zaimongli 看这里,这个是真正的大佬.里面的代码都是吊吊吊的,不用你再去csdn那种地方找了, 612K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6C8K9h3I4D9N6Y4S2C8 嘿嘿感谢大佬的推荐！我只是把编程当个人兴趣，享受一步步解决困难的过程，直接看别人开源的或许对于专职工作者来说更省事。就比如一道很难的数学题，虽然有详略的答案解析，但是先凭自己本事做出来更有成就感嘛~ 2018-8-25 14:02 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 9 楼安于此生 797K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 首先 NewHideDriverEx 也能检测出来的，NewHideDriverEx使用了ObMakeTemporaryObject会对象劫持这是个大记号，并且WIN10下依然会蓝屏（很久才会蓝，因为NewHideDriverEx只处理了seh，那是不够的） 2018-8-28 18:09 0
王齐雪币： 37 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	王齐 10 楼安于此生 c51K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 哟，你好。 2018-9-6 08:51 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 11 楼王齐哟，你好。 "NewHideDriverEx使用了ObMakeTemporaryObject会对象劫持这是个大记号" 什么意思 2018-11-5 23:00 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 12 楼 killpy "NewHideDriverEx使用了ObMakeTemporaryObject会对象劫持这是个大记号" 什么意思我也不知道为什么，因为我测试过的，所以才这么说的，使用ObMakeTemporaryObject后，PCHunter64.exe里查看先提示对象劫持 2018-11-6 11:30 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 13 楼没有啊我按照这个方法隐藏对象后开pch 扫不到驱动了也看不到劫持 2018-11-6 21:35 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 14 楼老坛酸菜TM 我也不知道为什么，因为我测试过的，所以才这么说的，使用ObMakeTemporaryObject后，PCHunter64.exe里查看先提示对象劫持没有啊我按照这个方法隐藏对象后开pch 扫不到驱动了也看不到劫持 2018-11-6 21:36 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 15 楼 win10确实会蓝屏，很久才会蓝屏 2021-4-12 18:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

古月浪子

发帖

回帖

243

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 2 楼 f1fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6q4)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3X3c8Q4x3X3c8Q4x3U0k6Y4N6q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0p5d9@1!0y4i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5k6q4)9J5k6q4)9J5y4X3N6@1i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7X3S2@1N6s2m8K6i4K6y4m8i4K6u0r3i4K6u0r3k6$3W2@1K9s2g2T1i4K6u0W2j5$3!0E0i4K6u0r3h3X3S2#2d9s2g2A6b7X3g2A6f1$3S2S2c8r3W2S2L8#2)9J5c8V1&6W2N6@1S2A6k6r3g2p5M7X3W2$3k6i4u0q4P5l9`.`. 我基本都汇总了 2018-8-25 01:09 0
古月浪子雪币： 2257 活跃值： (2410) 能力值： ( LV12，RANK：243 ) 在线值：发帖 13 回帖 23 粉丝 29 关注私信	古月浪子 3 楼安于此生 9c3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 大佬666，原来早有人整理了，怪我太晚才看到他的博客不过大佬你的动态搜索代码太冗长了，而且从性质上来说也是硬编码，我只是分享一下自己写的较简洁的代码 2018-8-25 01:32 0
zhatian 雪币： 6926 活跃值： (4572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 243 粉丝 20 关注私信	zhatian 4 楼有开源的，而且处理的很不错。你浪费了太多时间了。你缺少人和你交流把。 2018-8-25 03:55 0
zaimongli 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	zaimongli 5 楼看这里,这个是真正的大佬.里面的代码都是吊吊吊的,不用你再去csdn那种地方找了, 0e1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6C8K9h3I4D9N6Y4S2C8 嘿嘿 2018-8-25 07:07 0
layerfsd 雪币： 8197 活跃值： (3312) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 8 关注私信	layerfsd 4 6 楼支持楼主发帖分享 2018-8-25 10:45 0
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 7 楼安于此生 cc9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 我以前不明白什么叫做应有尽有，直到看到您的分享 2018-8-25 10:46 0
古月浪子雪币： 2257 活跃值： (2410) 能力值： ( LV12，RANK：243 ) 在线值：发帖 13 回帖 23 粉丝 29 关注私信	古月浪子 8 楼 zaimongli 看这里,这个是真正的大佬.里面的代码都是吊吊吊的,不用你再去csdn那种地方找了, 612K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6C8K9h3I4D9N6Y4S2C8 嘿嘿感谢大佬的推荐！我只是把编程当个人兴趣，享受一步步解决困难的过程，直接看别人开源的或许对于专职工作者来说更省事。就比如一道很难的数学题，虽然有详略的答案解析，但是先凭自己本事做出来更有成就感嘛~ 2018-8-25 14:02 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 9 楼安于此生 797K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 首先 NewHideDriverEx 也能检测出来的，NewHideDriverEx使用了ObMakeTemporaryObject会对象劫持这是个大记号，并且WIN10下依然会蓝屏（很久才会蓝，因为NewHideDriverEx只处理了seh，那是不够的） 2018-8-28 18:09 0
王齐雪币： 37 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	王齐 10 楼安于此生 c51K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6q4P5s2m8x3K9h3k6W2x3o6l9I4x3g2)9J5c8X3q4%4k6i4y4G2L8h3g2Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8V1k6i4k6W2L8r3!0H3L8h3g2F1N6l9`.`. --> DKOM --> https: ... 哟，你好。 2018-9-6 08:51 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 11 楼王齐哟，你好。 "NewHideDriverEx使用了ObMakeTemporaryObject会对象劫持这是个大记号" 什么意思 2018-11-5 23:00 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 12 楼 killpy "NewHideDriverEx使用了ObMakeTemporaryObject会对象劫持这是个大记号" 什么意思我也不知道为什么，因为我测试过的，所以才这么说的，使用ObMakeTemporaryObject后，PCHunter64.exe里查看先提示对象劫持 2018-11-6 11:30 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 13 楼没有啊我按照这个方法隐藏对象后开pch 扫不到驱动了也看不到劫持 2018-11-6 21:35 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 14 楼老坛酸菜TM 我也不知道为什么，因为我测试过的，所以才这么说的，使用ObMakeTemporaryObject后，PCHunter64.exe里查看先提示对象劫持没有啊我按照这个方法隐藏对象后开pch 扫不到驱动了也看不到劫持 2018-11-6 21:36 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 15 楼 win10确实会蓝屏，很久才会蓝屏 2021-4-12 18:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复