隐藏驱动，绕过XueTr 0.39检测

KiDebug

dl123100 发表于 2011-5-27 23:56
改的几个驱动确实都有DeviceObject 太晚了 无法继续测试
不过XueTr检测到可疑驱动是基于内存搜索DriverO ...

编译下我的代码测一下吧。

要是我环境不对出现可疑驱动的话那我就丢脸了。。。

xjchris

高手啊，多多来学习。

FreeEquFraT

楼主能不能发编译后的驱动文件呢，这样我等菜鸟也能测试一下了，只有代码的话不知道怎么弄啊

z2665

FreeEquFraT 发表于 2011-5-28 12:33
楼主能不能发编译后的驱动文件呢，这样我等菜鸟也能测试一下了，只有代码的话不知道怎么弄啊

我编译了一个吧- -。。
我想ctrl+c的代码应该没错吧。。
WDK 7600.16385.0
xp x86 Free Build
test1.rar (110.23 KB, 下载次数: 351)

2011-5-28 13:00 上传

点击文件名下载附件

KiDebug

z2665 发表于 2011-5-28 13:01
我编译了一个吧- -。。
我想ctrl+c的代码应该没错吧。。
WDK 7600.16385.0

刚刚另外试了一下，在没有加载test1.sys、test2.sys的情况下，打开XueTr查看驱动模块，显示有一个可疑驱动对象；加载test1.sys，test1.sys没有显示，仍然存在刚才的那个可疑驱动对象；加载test2.sys，显示有两个可疑驱动对象，dt _driver_object了一下其中的一个，是test2.sys。

看来FullDllName.buffer填为0还是不行的。。。

z2665

KiDebug 发表于 2011-5-28 13:35
刚刚另外试了一下，在没有加载test1.sys、test2.sys的情况下，打开XueTr查看驱动模块，显示有一个可疑驱 ...

我试了一下在xp sp3的虚拟机环境下。和你的结果一样的。。
第一个能过xt的检测..
lz继续加油。。期待新的发现哦

liulangzhecgr

都能看见！

--------------------
可能操作有误。。。！

加载安装后，还要启动？！。。。再试一次！

KiDebug

试了下本机的Windows 7，test1.sys还是没显示。
按文件名排序：


test2.sys有：



算了，不玩了。干其他的事去了。

XueTr还是很强大的~

liulangzhecgr

蓝屏一次。。。
不太会操作！ 两个一起来。。。

FreeEquFraT

测试了测试了一下MD，test1.sys可以看见，test2.sys直接卡住了，驱动部分所有驱动都看不见了，看来MD也需要改进一下了