/*
早在2014.10.22都已经写过一个失败的隐藏系统线程的代码.
现在看来,当时失败在函数的处理上,里面有很多无效/非法的指令.
这几天突然看到:
https://github.com/tandasat/MemoryMon.git
https://github.com/Cr4sh/DrvHide-PoC.git
来个灵感的想法,写个测试,所以有了此文.
此驱动在procexp.exe是查不到的,因为驱动加载失败.
保留搜索内存的PE特征也应该搜索不到,因为驱动加载失败.
但是procexp.exe查看system的进程的线程信息能看到,但是你找不到对应的驱动,因为驱动加载失败.
假如驱动支持卸载,让驱动启动成功,卸载函数不做任何处理,我想驱动卸载后自己的那个系统线程还会继续运行.
最后说下:
这是个小玩意,
也许对你有用,
请勿用于非法用途,
小心MemoryMon监控出.
其实线程回调也能监控出,并进程识别和阻断(自己编写杀系统线程的代码)的.
编译环境:VS2017+WDK10
测试环境:Windows 10 x64
made by correy
made at 10:38 2019/1/19
https://correy.webs.com
*/
#include <ntifs.h>
#include <windef.h>
#include <intrin.h>
#define TAG 'tset' //test
PVOID gThreadObj;
/*
这里有众多的注意事项要说明:
1.函数内不准有异常处理的函数,特别是X64.
2.编译选项要关闭/JMC.否者会出现一些怪异的函数.
3.编译选项要关闭/guard:cf
4.此函数可考虑用汇编写.
5.此函数也可考虑用ShellCode写.
6.此函数不可访问本驱动的全局变量.
7.此函数不可直接调用系统的API,可获取地址,因为导入表在本驱动.
*/
#pragma region Context code that cannot reference any exports directly
#pragma optimize("", off)
#pragma check_stack(off)
#pragma runtime_checks("", off)
KSTART_ROUTINE MyThreadStart;
VOID MyThreadStart(__in PVOID StartContext)
/*
此函数的功能在于的你的想象.
StartContext传入的内容,你想想吧!但这必须是你申请的内存,不可使本驱动的(局部或全局)变量.
*/
{
//LARGE_INTEGER li;
UNREFERENCED_PARAMETER(StartContext);
__debugbreak();
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
