SuperDriver Project

SUPERDRIVER


简介

什么是SuperDriver?
SuperDriver是一种以内核模式运行的驱动(KMDF),为某些程序提供编程接口,接口主要涉及:

  • 进程操作
    • 进程结束
    • 强制进程结束 *:内存清零
    • 进程隐藏
    • 进程保护
  • 文件操作
    • 文件删除
    • IRP级文件强制删除 (源码出售 100RMB)
    • 文件保护
    • 文件隐藏
    • 隐藏,保护MBR *:使得MBR看上去是原始状态,可它已经被修改,支持所有接口!
    • 强行修改扇区
  • 无视安全模式
  • 隐藏自身模块
  • 注册表操作
    • 未公开
  • 禁止加载驱动
  • 禁止创建线程
  • 禁止所有进程启动

它是一种RootKit,部分功能需付费.

我怎么才能使用它?
加我QQ:2513881812,你可以免费获得某些功能(前提是你具备C语言编程功底,至少是R3应用层).

价格怎么样?
作者并不黑心,价格看心情.

我能不能加入项目开发?
当然可以,但是需经过人品考核,必须具备编程功底(特别是驱动,C语言)

控制码展示

//-----------------------------------------------------------------
//键盘:

//启动键盘HOOK.只需传入控制码,无需传入数据
#define CTL_ENABLE_KBD_HOOK ***
//关闭键盘HOOK.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_KBD_HOOK ***

//禁止按下某键.USHORT类型(键盘扫描码)
#define CTL_DISABLE_KBD_KEY ***
//取消禁止按下某键.USHORT类型(键盘扫描码)
#define CTL_ENABLE_KBD_KEY ***
//取消全部:禁止的键.只需传入控制码,无需传入数据,清空在"CTL_DISABLE_KBD_KEY"中添加的值
#define CTL_EMPTY_KBD_KEY ***

//------------------------------------------------------------------
//文件:(未特殊说明,路径为R3路径)

//启动目录枚举HOOK.只需传入控制码,无需传入数据
#define CTL_ENABLE_DIR_HOOK ***
//关闭目录枚举HOOK.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_DIR_HOOK ***

//启动文件创建&打开HOOK.只需传入控制码,无需传入数据
#define CTL_ENABLE_FILE_CREATE_HOOK ***
//关闭文件创建&打开HOOK.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_FILE_CREATE_HOOK ***

//------------------------------------------------------------------
//进程:(有效文件名长度为15个字符(包含结束符),超过15的部分应舍去)

//启动进程启动Mon.只需传入控制码,无需传入数据
#define CTL_ENABLE_PROC_MON ***
//关闭进程启动Mon.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_PROC_MON ***

//启动性能更高的进程Mon.只需传入控制码,无需传入数据
#define CTL_ENABLE_PROC_MON_EX ***
//关闭性能更高的进程Mon.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_PROC_MON_EX ***

//启动进程被杀Mon.只需传入控制码,无需传入数据
#define CTL_ENABLE_PROC_MON_KILL ***
//关闭进程被杀Mon.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_PROC_MON_KILL ***

//将进程添加至黑名单,PWCHAR类型(进程名)
#define CTL_ADD_PROC_BLACK_LIST ***
//将进程从黑名单删除,PWCHAR类型(进程名)
#define CTL_DEL_PROC_BLACK_LIST ***
//清空进程黑名单.只需传入控制码,无需传入数据.
#define CTL_EMPTY_PROC_BLACK_LIST ***

//将进程添加至白名单,PWCHAR类型(进程名)
#define CTL_ADD_PROC_WHITE_LIST ***
//将进程从白名单删除,PWCHAR类型(进程名)
#define CTL_DEL_PROC_WHITE_LIST ***
//清空进程白名单.只需传入控制码,无需传入数据.
#define CTL_EMPTY_PROC_WHITE_LIST ***

//禁止所有进程启动,只需传入此控制码,无需传入数据
#define CTL_ENABLE_KILL_ALL_PROC ***
//取消禁止所有进程启动,只需传入此控制码,无需传入数据
#define CTL_DISABLE_KILL_ALL_PROC ***

//隐藏进程,UINT64类型(进程PID)
#define CTL_HIDE_PROC ***
//杀死进程,UINT64类型(进程PID)
#define CTL_KILL_PROC ***
//杀死进程,第二种方法,UINT64类型(进程PID)
#define CTL_KILL_PROC_EX ***
//强制杀进程,UINT64类型(进程PID),TIPS:强制杀进程大概率蓝屏!
#define CTL_SUPER_KILL_PROC ***

//---------------------------------------------------------------------
//线程:

//启动线程创建Mon.只需传入控制码,无需传入数据
#define CTL_ENABLE_THR_MON ***
//关闭线程创建Mon.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_THR_MON ***

/*暂未实现
//禁止所有线程启动,只需传入此控制码,无需传入数据
#define CTL_ENABLE_KILL_ALL_THR ***
//取消禁止所有线程启动,只需传入此控制码,无需传入数据
#define CTL_DISABLE_KILL_ALL_THR ***
*/

//---------------------------------------------------------------------
//模块:

//启动模块Mon.只需传入控制码,无需传入数据
#define CTL_ENABLE_MOD_MON ***
//关闭模块Mon.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_MOD_MON ***

//禁止所有dll加载,只需传入此控制码,无需传入数据
#define CTL_ENABLE_KILL_ALL_DLL ***
//取消禁止所有dll加载,只需传入此控制码,无需传入数据
#define CTL_DISABLE_KILL_ALL_DLL ***

//禁止所有sys加载,只需传入此控制码,无需传入数据
#define CTL_ENABLE_KILL_ALL_SYS ***
//取消禁止所有sys加载,只需传入此控制码,无需传入数据
#define CTL_DISABLE_KILL_ALL_SYS ***

//------------------------------------------------------------------
//注册表:

//启动注册表删除Mon.只需传入控制码,无需传入数据
#define CTL_ENABLE_REG_MON ***
//关闭注册表删除Mon.只需传入控制码,无需传入数据,不会清空数据
#define CTL_DISABLE_REG_MON ***

//---------------------------------------------------------------
//Anti-ARK

//将驱动添加至安全模式启动,只需传入此控制码,无需传入数据
#define CTL_ENABLE_SAFEMODE_STRAT ***
//禁用安全模式启动,只需传入此控制码,无需传入数据
#define CTL_DISABLE_SAFEMODE_STRAT ***

//保护驱动自身的注册表,无需传入数据(一旦启用,则无法对驱动进行任何操作!也无法卸载,无法控制!)
#define CTL_PROTECT_SELF_REGISTRY ***

//超级关机,只需传入此控制码,无需传入数据
#define CTL_SUPER_SHUTDOWN ***

部分功能截图

无视安全模式

保护文件
保护文件
保护文件


更新日志

  • V1.0.1.0 (2020/6/6)

    • 改成了第三代,更加稳定
    • 全部__try,基本不会蓝屏了
    • 以前进程名只能取16个也改好了!
  • V1.0.0.9 (2020/4/19)

    • 增加IRP删除文件
    • 修复内存修改结束进程时蓝屏问题
    • 增加使用int 3指令摧毁进程内存功能
  • V1.0.0.8 (2020/4/12)

    • 工程全面重新编写,全部采用C++,最大限度优化
    • 让用户在监视器的启动和关闭有更大权利
    • 修复了蓝屏问题,目前十分稳定
  • V1.0.0.7 (2020/3/29)

    • 添加隐藏自身驱动模块功能,该功能在驱动加载时自动启动,无需手动开启,暂不支持恢复
  • V1.0.0.6 (2020/3/28)

    • 优化文件保护功能,目前已上线此功能
    • 添加结束进程时的回调,可更强地保护进程
    • 优化了代码
    • 修复了若干Bug
  • V1.0.0.5 (2020/3/25)

    • 修复了Win10下,禁止所有驱动加载蓝屏的问题
    • 优化了代码
    • 修复了若干Bug
  • V1.0.0.4 (2020/3/23)

    • 支持在安全模式下加载此驱动!
    • 修复了若干Bug
  • V1.0.0.3 (2020/3/22)

    • 修复禁止所有驱动加载时蓝屏的问题
    • 支持删除被保护进程列表
    • 修复了若干Bug
  • V1.0.0.2

    • 优化控制码,增加R3下的注释.
    • 为R3增加自动加载驱动模块.
    • R0加入列表,可以添加被保护进程了! *:暂不支持删除
  • V1.0.0.1

    • 将原来通信使用的WriteFile改为DeviceIoControl,更加简洁明了
    • 优化了代码
    • 统一输入格式,弃用SysParam,SysRegParam改名为RegParam并保留,添加了保留参数.
    • 修复了若干Bug
  • V1.0.0.0:

    • SuperDriver问世!

DEMO下载

不提供DEMO下载!

未完待续


源码出售区

由于源码的特殊性,请决定好需不需要,一旦付款,恕不退款!

IRP删文件

DEMO下载:

x86 下载
x64 下载

功能介绍

无视文件是否打开,直接Ntfs.sys发送删除请求.自带反HOOK
DEMO是删除\Device\HarddiskVolume1\Windows\System32\taskmgr.exe程序,你可以测试在打开情况下能否删除.

价格

没得商量 100RMB


签名服务

我提供有偿签名服务,价格为5RMB一次.
签名有效,可在最新Win10上加载!


关闭驱动强制签名服务

我提供有偿关闭驱动强制签名服务,价格为30RMB.
尚未在Win10测试Win7x64可完美实现!


Tips

由于驱动的特殊性,可能加载驱动后会蓝屏,或达不到预期效果.我不保证所有功能都可以完美实现!
由于Win10的特殊性,我不保证Win10下所有功能全部实现!
一旦付款,恕不退款!
请勿将不同版本的驱动和程序混用!!!


   转载规则

请联系作者付费转载。
 上一篇
关机的N种方法 关机的N种方法
关机的N种方法说明:技术仅供学习使用,如恶意利用,与作者无关!1.无意中看到一种通过控制92H端口bit0位,将其置1来实现重启的方法,刚才测试了一下,效果真好 mov al, 01 out 92h, al2.另一种,模拟键盘的reset
2020-03-16
下一篇 
驱动模块隐藏 驱动模块隐藏
X64枚举和隐藏内核模块说明:技术仅供学习使用,如恶意利用,与作者无关!在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中
2020-03-12
  目录