关于Hidden
Hidden是一款针对Windows系统安全的研究任务解决方案,该工具专为系统安全与逆向工程专家而设计,目前已经被开发成为了一种针对Windows操作系统安全的强大工具。
本质上来说,Hidden是一个带有用户模式接口的Windows驱动程序,可以用于隐藏目标Windows设备上的特定环境,例如RCE程序(procmon或wireshark等)和VM基础设施(vmware tools等)之类的工具环境。除此之外,该工具还能够实现进程、文件系统和注册表对象等系统元素,以实现进程保护或系统保护等目标。
功能介绍
1、隐藏注册表键和值;
2、隐藏文件和目录;
3、隐藏进程(试验性功能);
4、保护指定进程;
5、从隐藏或受保护的功能排除指定的进程;
6、用户模式接口(lib或cli)的驱动程序;
7、更多功能持续开发中...
系统要求
Windows Vista以上版本;
x86或x64架构;
建议构建环境
Visual Studio 2019
Windows Driver Kit
项目克隆
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/JKornev/hidden.git
代码构建
我们可以按照下列步骤构建一个Hidden工具的win32发布版本:
1、使用Visual Studio打开Hidden.sln;
2、使用发布+Win32配置构建Hidden项目包;
3、打开构建后生成的<ProjectDir>Release目录即可查看生成后的程序;
工具安装
1、在测试计算机上禁用强制数字签名功能(bcdedit /set TESTSIGNING ON),并重启设备;
2、将 <ProjectDir>ReleaseHidden Package中的文件拷贝到测试设备上;
3、鼠标右键点击Hidden.inf并选择Install;
4、开启一个驱动程序(sc start hidden);
5、确保服务处于正在运行的状态(sc query hidden);
工具使用
项目提供了一个hiddencli工具来帮助广大研究人员管理一个驱动程序,我们可以使用它来实现目标对象的隐藏和显示,或者修改一个驱动程序的状态等。
隐藏一个文件:
hiddencli /hide file c:WindowsSystem32calc.exe
(向右滑动,查看更多)
隐藏一个目录:
hiddencli /hide dir "c:Program FilesVMWare"
隐藏一个注册表键:
hiddencli /hide regkey "HKCUSoftwareVMware, Inc."
隐藏一个进程:
hiddencli /hide pid 2340
通过进程镜像名称隐藏进程:
hiddencli /hide image apply:forall c:WindowsExplorer.EXE
(向右滑动,查看更多)
获取工具命令行接口帮助信息:
hiddencli /help
项目地址
Hidden:https://github.com/JKornev/hidden
【
原文始发于微信公众号(FreeBuf):Hidden:一款针对Windows系统安全的研究任务解决方案
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论