cc682/NetRoc
http://netroc682.spaces.live.com/
写了个隐藏内核调试器的小驱动,可以跳过一些软件对WinDbg、KD这样的内核调试器的检查。
- 跳过驱动中对KdDebuggerEnabled、KdEnteredDebugger的检查。
- 跳过对SharedUserData->KdDebuggerEnabled的检查。
- 跳过NtQuerySystemInformation对SystemKernelDebuggerInformation的检查。
- 跳过KdDisableDebugger的调用。
使用时要先用工具加载HideKd.sys,就可以针对之后加载的驱动或用户模式程序隐藏内核调试器了。这个驱动加载之后只有重起才能卸载,所以要注意不能安装成引导时启动,仅在Windows XP SP2英文版中测试通过。
下载:HideKd