我正在编写一个游戏破解并希望在游戏运行时运行作弊引擎,反破解当前检测到用户模式和内核模式组件并终止游戏。我编写了一个设备驱动程序来挂钩 ZwQuerySystemInformation 以隐藏进程。我还想隐藏设备驱动程序,因为它目前仍然被检测到。我知道我可以用 DKOM 做到这一点,但我更喜欢使用 SSDT 挂钩,有谁知道我应该挂钩什么 api 来过滤服务/驱动程序列表?
问问题
523 次
1 回答
0
您可以从头到尾阅读本文并使用其提供的代码并对其进行自定义以满足您自己的需求: http: //www.codeproject.com/Articles/46670/Service-Hiding
忠告,如果你不知道自己在做什么,最好不要玩这些东西。
另一方面,他们倾向于过度复杂化他们的架构和编译过程,所以预计会出现一些问题,因为它不会是一个简单的解决方案。但是,这应该解决并解决您的问题和需求。
编辑:
您需要挂钩服务 API,该 API 负责向您显示当前在您的计算机上运行的服务。一个示例是“services.exe”,这是您需要修改/更改以正确隐藏驱动程序的所有数据结构。具体来说,SERVICE_RECORD
结构和以下成员也需要修改Prev
:Next
和ServiceName
。一旦你在services.exe
它的后面找到了这样的结构,回到基本算法 101。这是从那些双向链表中删除你想要隐藏的所需驱动程序。下图由前面提到的文章提供。
这是隐藏服务背后的基本或一般规则。
于 2015-08-30T06:28:37.997 回答