關(guān)于Hidden

Hidden是一款針對Windows系統(tǒng)安全的研究任務(wù)解決方案，該工具專為系統(tǒng)安全與逆向工程專家而設(shè)計(jì)，目前已經(jīng)被開發(fā)成為了一種針對Windows操作系統(tǒng)安全的強(qiáng)大工具。

本質(zhì)上來說，Hidden是一個(gè)帶有用戶模式接口的Windows驅(qū)動程序，可以用于隱藏目標(biāo)Windows設(shè)備上的特定環(huán)境，例如RCE程序（procmon或wireshark等）和VM基礎(chǔ)設(shè)施（vmware tools等）之類的工具環(huán)境。除此之外，該工具還能夠?qū)崿F(xiàn)進(jìn)程、文件系統(tǒng)和注冊表對象等系統(tǒng)元素，以實(shí)現(xiàn)進(jìn)程保護(hù)或系統(tǒng)保護(hù)等目標(biāo)。

功能介紹

1、隱藏注冊表鍵和值；

2、隱藏文件和目錄；

3、隱藏進(jìn)程（試驗(yàn)性功能）；

4、保護(hù)指定進(jìn)程；

5、從隱藏或受保護(hù)的功能排除指定的進(jìn)程；

6、用戶模式接口（lib或cli）的驅(qū)動程序；

7、更多功能持續(xù)開發(fā)中...

系統(tǒng)要求

Windows Vista以上版本；

x86或x64架構(gòu)；

建議構(gòu)建環(huán)境

Visual Studio 2019

Windows Driver Kit

項(xiàng)目克隆

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/JKornev/hidden.git

代碼構(gòu)建

我們可以按照下列步驟構(gòu)建一個(gè)Hidden工具的win32發(fā)布版本：

1、使用Visual Studio打開Hidden.sln；

2、使用發(fā)布+Win32配置構(gòu)建Hidden項(xiàng)目包；

3、打開構(gòu)建后生成的<ProjectDir>\Release目錄即可查看生成后的程序；

工具安裝

1、在測試計(jì)算機(jī)上禁用強(qiáng)制數(shù)字簽名功能（bcdedit /set TESTSIGNING ON），并重啟設(shè)備；

2、將 <ProjectDir>\Release\Hidden Package中的文件拷貝到測試設(shè)備上；

3、鼠標(biāo)右鍵點(diǎn)擊Hidden.inf并選擇Install；

4、開啟一個(gè)驅(qū)動程序（sc start hidden）；

5、確保服務(wù)處于正在運(yùn)行的狀態(tài)（sc query hidden）；

工具使用

項(xiàng)目提供了一個(gè)hiddencli工具來幫助廣大研究人員管理一個(gè)驅(qū)動程序，我們可以使用它來實(shí)現(xiàn)目標(biāo)對象的隱藏和顯示，或者修改一個(gè)驅(qū)動程序的狀態(tài)等。

隱藏一個(gè)文件：

hiddencli /hide file c:\Windows\System32\calc.exe

隱藏一個(gè)目錄：

hiddencli /hide dir "c:\Program Files\VMWare"

隱藏一個(gè)注冊表鍵：

hiddencli /hide regkey "HKCU\Software\VMware, Inc."

隱藏一個(gè)進(jìn)程：

hiddencli /hide pid 2340

通過進(jìn)程鏡像名稱隱藏進(jìn)程：

hiddencli /hide image apply:forall c:\Windows\Explorer.EXE

獲取工具命令行接口幫助信息：

hiddencli /help

項(xiàng)目地址

Hidden：【GitHub傳送門】