TitanHide - драйвер для скрытия отладчиков

GitHub - mrexodia/TitanHide: Hiding kernel-driver for x86/x64.

TitanHide - это драйвер, предназначенный для сокрытия отладчиков от определенных процессов. Драйвер перехватывает различные функции ядра (используя перехватчики таблиц SSDT) ​​и изменяет возвращаемые значения исходных функций. Чтобы скрыть процесс, вы должны передать драйверу простую структуру с ProcessID и включенными опциями скрытия. Внутренний API предназначен для добавления перехвата с минимальными усилиями, а это означает, что добавлять функции очень просто.

Функции:

  • ProcessDebugFlags (NtQueryInformationProcess)
  • ProcessDebugPort (NtQueryInformationProcess)
  • ProcessDebugObjectHandle (NtQueryInformationProcess)
  • DebugObject (NtQueryObject)
  • SystemKernelDebuggerInformation (NtQuerySystemInformation)
  • SystemDebugControl (NtSystemDebugControl)
  • NtClose (STATUS_INVALID_HANDLE/STATUS_HANDLE_NOT_CLOSABLE exceptions)
  • ThreadHideFromDebugger (NtSetInformationThread)
  • Protect DRx (HW BPs) (NtGetContextThread/NtSetContextThread)

Тестовые среды:

  • Windows 10 x64 и x86
  • Windows 8.1 x64 и x86
  • Windows 7 x64 и x86 (SP1)
  • Windows XP x86 (SP3)
  • Windows XP x64 (SP1)

Компиляция:

  1. Установите Visual Studio 2013 (Express Edition не протестирована).
  2. Установите WDK8 / WDK7.
  3. Откройте TitanHide.sln и нажмите “Скомпилировать”.

Первый способ установки:

  • Скопируйте TitanHide.sys в %systemroot%\system32\drivers .
  • Выполните команду sc create TitanHide binPath= %systemroot%\system32\drivers\TitanHide.sys type= kernel, чтобы создать службу TitanHide.
  • Выполните команду sc start TitanHide, чтобы запустить службу TitanHide.
  • Запустите команду sc query TitanHide, чтобы проверить, работает ли TitanHide.

Второй способ установки:

  • Скопируйте TitanHide.sys в %systemroot%\system32\drivers .
  • Запустите ServiceManager.exe (доступен на странице загрузки).
  • Удалите старую службу (если она есть).
  • Установите новую службу (укажите полный путь к TitanHide.sys).
  • Запустите только что созданный сервис.
  • Используйте TitanHideGUI.exe, чтобы установить параметры скрытия для PID.

Тестирование и PatchGuard:
Чтобы включить тестирование, выполните следующую команду:
bcdedit /set testsigning on
Чтобы отключить PatchGuard, найдите инструмент, например KPP Destroyer, чтобы отключить его (Google - ваш друг). Чтобы проверить, правильно ли работает TitanHide, используйте DebugView или проверьте C:\TitanHide.log. Вы также можете попробовать EfiGuard, UPGDSED или Shark.

2 Likes