TitanHide

Kommen Sie nicht hierher und öffnen Sie Probleme zu Problemen mit der Installation, stürmen mit Fehlerprüfung 0x109: cricial_structure_corruption oder Fragen zum Deaktivieren von PatchGuard. Ich werde Sie dauerhaft von dem Problem Tracker verbieten. Wenn Sie nicht wissen, wie Sie das Tool richtig installieren, wissen Sie nicht genug, um es verantwortungsbewusst zu verwenden, und Sie sollten etwas anderes wie Scyllahide verwenden. Um PatchGuard zu deaktivieren, versuchen Sie es mit Effiguard, UPGDSED oder Shark.

Titanhide ist ein Treiber, der Debugger vor bestimmten Prozessen verbergen soll. Der Treiber hängt verschiedene NT* -Kernel -Funktionen (unter Verwendung von SSDT -Tabellenhaken) ab und modifiziert die Rückgabewerte der ursprünglichen Funktionen. Um einen Prozess zu verbergen, müssen Sie eine einfache Struktur mit einer prozessdischen und der versteckten Option (en) an den Treiber übergeben. Die interne API ist so konzipiert, dass sie Haken mit wenig Aufwand hinzufügen, was bedeutet, dass das Hinzufügen von Funktionen wirklich einfach ist.

Die Idee für dieses Projekt wurde zusammen mit Cypher, Shoutout Man!

• ProcessDebugflags (NtQueryInformationProcess)
• ProcessDebugport (NtQueryInformationProcess)
• ProcessDebugobJectHandle (NtQueryInformationProcess)
• Debugobject (ntQueryObject)
• SystemkernelDebuggerinformation (NTQuerysysteminformation)
• SystemdebugControl (NTSystemDebugControl)
• Ntclose (STATUS_INVALID_HANDLE/STATUS_HANDLE_NOT_CLOSABLE AUSSETZUNGEN)
• ThreadHideFromDebugger (ntsetInformation thread)
• Schutz DRX (HW BPS) (NtGetContextThread/NtsetContextThread)

• Windows 10 x64 & x86
• Windows 8.1 x64 & x86
• Windows 7 x64 & x86 (SP1)
• Windows XP X86 (SP3)
• Windows XP X64 (SP1)

1. Installieren Sie Visual Studio 2013 (Express Edition ungetestet).
2. Installieren Sie den WDK10/WDK8/WDK7.
3. Öffnen Sie TitanHide.sln und Hit Compile!

1. Kopieren Sie TitanHide.sys auf %systemroot%system32drivers .
2. Führen Sie den Befehl sc create TitanHide binPath= %systemroot%system32driversTitanHide.sys type= kernel um den Titanhide -Dienst zu erstellen.
3. Führen Sie den Befehl sc start TitanHide , um den Titanhide -Dienst zu starten.
4. Führen Sie den Befehl sc query TitanHide aus, um zu überprüfen, ob Titanhide ausgeführt wird.

1. Kopieren Sie TitanHide.sys auf %systemroot%system32drivers .
2. Starten Sie ServiceManager.exe (verfügbar auf der Download -Seite).
3. Löschen Sie den alten Dienst (wenn vorhanden).
4. Installieren Sie einen neuen Dienst (Geben Sie den vollständigen Pfad zu TitanHide.sys an).
5. Starten Sie den gerade erstellten Dienst.
6. Verwenden Sie TitanHideGUI.exe um die Optionen für eine PID auszublenden.

So aktivieren Sie das Testsigning, führen Sie den folgenden Befehl aus:

 bcdedit /set testsigning on

Um PatchGuard zu deaktivieren, finden Sie ein Tool wie KPP -Zerstörer, um es zu deaktivieren (Google ist Ihr Freund). Um zu überprüfen, ob Titanhide korrekt funktioniert, verwenden Sie Debugview oder überprüfen Sie C:TitanHide.log . Sie können auch Effiguard, UPGDSED oder Shark versuchen.

• Bei Verwendung von X64DBG können Sie das Titanhide -Plugin (verfügbar auf der Download -Seite) verwenden.
• Führen Sie diesen Treiber niemals auf einem Produktionssystem aus, verwenden Sie immer eine VM!