TitanHide

No venga aquí y abra los problemas sobre los problemas con la instalación, se bloquea con la verificación de errores 0x109: Critic_Structure_Corruption o preguntas sobre cómo deshabilitar PatchGuard. Te prohibiré permanentemente del rastreador de problemas. Si no sabe cómo instalar correctamente la herramienta, no sabe lo suficiente como para usarla de manera responsable y debe usar algo más como Scyllahide. Para deshabilitar PatchGuard, pruebe Efiguard, Upgdsed o Shark.

Titanhide es un conductor destinado a ocultar a los depugadores de ciertos procesos. El controlador engancha varias funciones NT* Kernel (usando ganchos de tabla SSDT) ​​y modifica los valores de retorno de las funciones originales. Para ocultar un proceso, debe pasar una estructura simple con un proceso de proceso y las opciones de ocultación para habilitar al conductor. La API interna está diseñada para agregar ganchos con poco esfuerzo, lo que significa que agregar características es realmente fácil.

¡La idea de este proyecto se pensó junto con Cypher, Shoutout Man!

• ProcessDebugFlags (NtQueryInformationProcess)
• ProcessDebugport (ntQueryInformationProcess)
• ProcessDebUGOBJECTHANDLE (ntQueryInformationProcess)
• DebugObject (ntQueryObject)
• SystemKernelDebuggerInformation (NtquerySystemInformation)
• SystemDebugControl (ntSystemDebugControl)
• Ntclose (status_invalid_handle/status_handle_not_closable excepciones)
• ThreadHideFromDebugger (ntSetInformationThread)
• Protect DRX (HW BPS) (ntgetContextThread/ntsetContextThread)

• Windows 10 x64 y x86
• Windows 8.1 x64 y x86
• Windows 7 x64 y x86 (SP1)
• Windows XP X86 (SP3)
• Windows XP X64 (SP1)

1. Instale Visual Studio 2013 (Express Edition no probado).
2. Instale el WDK10/WDK8/WDK7.
3. ¡Abra TitanHide.sln y presione compilar!

1. Copiar TitanHide.sys a %systemroot%system32drivers .
2. Ejecute el comando sc create TitanHide binPath= %systemroot%system32driversTitanHide.sys type= kernel para crear el servicio titanhide.
3. Ejecute el comando sc start TitanHide para iniciar el servicio Titanhide.
4. Ejecute el comando sc query TitanHide para verificar si Titanhide se está ejecutando.

1. Copiar TitanHide.sys a %systemroot%system32drivers .
2. Inicie ServiceManager.exe (disponible en la página de descarga).
3. Elimine el servicio antiguo (cuando esté presente).
4. Instale un nuevo servicio (especifique la ruta completa a TitanHide.sys ).
5. Inicie el servicio que acaba de crear.
6. Use TitanHideGUI.exe para establecer opciones de ocultación para un PID.

Para habilitar TestSigning, ejecute el siguiente comando:

 bcdedit /set testsigning on

Para deshabilitar PatchGuard, encuentre una herramienta como KPP Destroyer para deshabilitarlo (Google es su amigo). Para verificar si Titanhide funciona correctamente, use DebugView o verifique C:TitanHide.log . También puede probar Efiguard, Upgdsed o Shark.

• Cuando usa X64DBG, puede usar el complemento Titanhide (disponible en la página de descarga).
• Nunca ejecute este controlador en un sistema de producción, ¡siempre use una VM!