關于Hidden

Hidden是一款針對Windows系統安全的研究任務解決方案，該工具專為系統安全與逆向工程專家而設計，目前已經被開發成為了一種針對Windows操作系統安全的強大工具。

本質上來說，Hidden是一個帶有用戶模式接口的Windows驅動程序，可以用于隱藏目標Windows設備上的特定環境，例如RCE程序（procmon或wireshark等）和VM基礎設施（vmware tools等）之類的工具環境。除此之外，該工具還能夠實現進程、文件系統和注冊表對象等系統元素，以實現進程保護或系統保護等目標。

功能介紹

1、隱藏注冊表鍵和值；

2、隱藏文件和目錄；

3、隱藏進程（試驗性功能）；

4、保護指定進程；

5、從隱藏或受保護的功能排除指定的進程；

6、用戶模式接口（lib或cli）的驅動程序；

7、更多功能持續開發中...

系統要求

Windows Vista以上版本；

x86或x64架構；

建議構建環境

Visual Studio 2019

Windows Driver Kit

項目克隆

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/JKornev/hidden.git

代碼構建

我們可以按照下列步驟構建一個Hidden工具的win32發布版本：

1、使用Visual Studio打開Hidden.sln；

2、使用發布+Win32配置構建Hidden項目包；

3、打開構建后生成的<ProjectDir>\Release目錄即可查看生成后的程序；

工具安裝

1、在測試計算機上禁用強制數字簽名功能（bcdedit /set TESTSIGNING ON），并重啟設備；

2、將 <ProjectDir>\Release\Hidden Package中的文件拷貝到測試設備上；

3、鼠標右鍵點擊Hidden.inf并選擇Install；

4、開啟一個驅動程序（sc start hidden）；

5、確保服務處于正在運行的狀態（sc query hidden）；

工具使用

項目提供了一個hiddencli工具來幫助廣大研究人員管理一個驅動程序，我們可以使用它來實現目標對象的隱藏和顯示，或者修改一個驅動程序的狀態等。

隱藏一個文件：

hiddencli /hide file c:\Windows\System32\calc.exe

隱藏一個目錄：

hiddencli /hide dir "c:\Program Files\VMWare"

隱藏一個注冊表鍵：

hiddencli /hide regkey "HKCU\Software\VMware, Inc."

隱藏一個進程：

hiddencli /hide pid 2340

通過進程鏡像名稱隱藏進程：

hiddencli /hide image apply:forall c:\Windows\Explorer.EXE

獲取工具命令行接口幫助信息：

hiddencli /help

項目地址

Hidden：【GitHub傳送門】