[驱动]隐藏文件与注册表保护
KHide工具及源码
功能介绍:
- 保护一个特定的文件,使其隐藏。
- 保护特定的注册表Key不被访问。
原理介绍:
- 文件隐藏基于MiniFilter来实现,通过处理
IRP_MJ_DIRECTORY_CONTROL
消息来实现。 - 注册表保护基于注册表回调来实现,处理
RegNtPreCreateKeyEx
类型来实现。
演示
解压密码:
481384100
安装:
- 右键KHide.inf,选择安装。
- 启动管理员权限的cmd,输入命令: sc start KHide,观察输出为运行,表示驱动已经正常加载。(驱动未签名,需要关闭驱动强制签名后使用)
- 打开用户态控制工具:KHideCtrl.exe
使用说明:
- 执行:
KHideCtrl.exe [-r] [-f]
. 程序会提示输入要隐藏的文件和保护的注册表路径。
-f
格式:C:\test.txt
-r
格式:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KHide
- 之后,程序停止执行,等待继续键入任意键,取消隐藏和保护。
注意:
- 目前支持最新的Win10 2004 x64(x86版本未测试)。
- 对于中文等特殊字符,未详细测试,理论支持。
- 由于该工具只是作为Demo使用,理论支持x64所有平台。
- 该工具目的仅作为学习使用,不可用于任何非法行为,若因使用产生任何后果,与本人无关。
- 其它问题,如需要源码,可以联系QQ群:414792053
万水千山总是情,给个打赏行不行。
打赏

原创文章,作者:Cc,如若转载,请注明出处:https://int0x3.cc/archives/8/
361
You want to hide the file: C:\Users\1\Desktop\a.sys
DeviceIOControl Success!
DeviceIOControl Success!
Press any key to Unhide!
但是文件没有被隐藏 两个版本都试过一样的结果