지팡이의 블로그임

사용법 HamsterHide를 관리자 권한으로 실행합니다 서명되지 않은 드라이버를 로드하기 위해서 테스트모드가 필요합니다 쉽게 테스트모드를 전환하기 위한 유틸이 있습니다 파일-> 테스트모드 클릭 테스트모드 설정도구에서 On을 누른 뒤 재부팅 합니다 OFF를 누르면 테스트모드를 끌 수 있습니다 재부팅 후에 적용됩니다 테스트 모드로 부팅했다면 Activate를 눌러줍니다 실행 도중에 에러가 발생했다면 메시지 박스가 출력됩니다 아무런 출력이 없고 아래 버튼들이 활성화 된다면 정상입니다 성공적으로 활성화 됐다면 숨기려는 프로그램을 켜고 해당 프로그램의 버튼을 누릅니다 작업관리자(또는 프로세스 해커, 프로세스 익스플로러)로 확인하면 숨긴 프로그램이 사라진걸 확인할 수 있습니다 해당 프로그램은 보호프로세스로 지정됩..

HamsterHide는 디버깅을 조금 더 편하게 해주는 유틸입니다 기능 기능은 다음과 같습니다 블랙리스트에 등록된 프로세스의 안티 디버깅 무력화 보호리스트에 등록된 프로세스의 숨김 모든 프로세스에 적용되는 설정 세부 기능은 다음과 같습니다 블랙리스트 프로세스 ProcessDebugFlags (NtQueryInformationProcess) ProcessDebugPort (NtQueryInformationProcess) ProcessDebugObjectHandle (NtQueryInformationProcess) DebugObject (NtQueryObject) SystemKernelDebuggerInformation (NtQuerySystemInformation) SystemDebugControl (Nt..

win32u.dll에서 syscall을 할 때 인덱스는 0x1000이상부터 시작된다 SSDT Shadow를 후킹할 때 해당 인덱스를 바로 사용하면 SSDT Shadow의 범위를 벗어나게 되고 잘못된 결과를 불러올 수 있다 사용하기 전에 0x1000을 빼고 해당 값이 테이블의 서비스 갯수를 초과하지 않는지 체크한 뒤 사용하는게 안전하다 SSDTStruct* SSDT = SSDTShadowfind(); if (!SSDT) { Log("SSDT not found...\n"); return 0; } ULONG_PTR SSDTbase = (ULONG_PTR)SSDT->pServiceTable; if (!SSDTbase) { Log("ServiceTable not found...\n"); return 0; } in..