這個還是根據作者tesla.angela所開源的教程寫的東西 感謝作者 無私奉獻的精神
先說列舉 列舉是在應用層實現的 這裡的精髓就是找到了 了 win64 上 system_module_information 正確 的結構體定義 如果這個結構 找不對 那麼 程式肯定是不對的
然後 用的是 函式 zwquerysysteminformation 的 第11號功能 查詢 模組資訊
直接看**吧 這個** 是根據我 作者開源的** 所寫
#include #include typedef ntstatus (*zwquerysysteminformation)
( in ulong systeminformationclass,
out pvoid systeminformation,
in ulong length,
out pulong returnlength
);typedef unsigned long dword;
typedef struct _system_module_information_entry
system_module_information_entry, *psystem_module_information_entry;
typedef struct _system_module_information
system_module_information, *psystem_module_information;
zwquerysysteminformation zwquerysysteminformation;
void find(char* findname)
else if (result<0)
} while (result == 0xc0000004l);
psystemmoduleinformation = (psystem_module_information)pbuffer;
modulecount = psystemmoduleinformation->count;
for (int i = 0; i < modulecount; i++)
printf("\n");
} } if (flag)
else }
int main()
然後下面就是隱藏了
隱藏 就是上乙個部落格說的斷鏈了
這裡 其實應該有兩種方法的 下面是參考作者 寫出的**
核心列舉程序總結
我知道的有三種方法 這裡的第三種和第二種是一樣的 隱藏程序也可以在這麼做手腳 但需要注意多執行緒,在操作前,理應加鎖 1.暴力列舉程序 通過pslookupprocessbyprocessid cid獲得eprocess 第乙個引數我們使用迴圈 填入0 65535 for ulong i 0 i 6...
Linux 隱藏驅動模組
作為惡意驅動,肯定是希望自己模組載入之後不會被發現,那麼就需要對安裝的驅動模組進行隱藏,在驅動初始化入口進行摘鏈,kobject del 函式刪除當前模組的kobject就可以起到在 lsmod 和 sys module中隱藏。list del init this module.list test....
核心模組的插入和解除安裝
obj m o 名稱可改 以下內容可以不用動 current path shell pwd linux kernel shell uname r linux kernel path usr src linux headers linux kernel all make c linux kernel ...