主题
驱动内核模块总览 - Overview
本分类做什么
围绕 内核驱动:加载卸载、调试符号、进程隐藏/保护、文件系统过滤(ProtectFile)、VipProtect 高级保护、导入导出驱动、伪装进程、内核句柄 等。高风险,需管理员权限与兼容驱动签名策略;仅合法授权环境使用。
驱动加载说明
| 场景 | 说明 |
|---|---|
| 默认(内置欧拉驱动) | 首次调用任意驱动相关接口时 自动加载,无需 手动 LoadDriver,也 无需 额外初始化步骤。 |
| 自签名 / 迁移驱动 | 须先 ExportDriver 导出 blob,自行签名后通过 ImportDriverFromFile 或 ImportDriver 导入。 |
| 权限 | 驱动相关功能均须以 管理员权限 运行。 |
| LoadDriver | 高级用法:按指定名称与路径加载驱动;一般场景不需要。 |
一、驱动生命周期与调试
| 接口 | 差异 |
|---|---|
| LoadDriver、UnloadDriver | 高级用法:按路径加载/卸载驱动;内置欧拉驱动默认会自动加载。 |
| DriverTest | 通信/功能自检。 |
| EnabletVtDriver | VT 相关开关(与虚拟化防护有关,见详情页)。 |
| LoadPdb、GetPdbDownloadUrls | 符号调试与 PDB 下载地址。 |
二、进程/线程与伪装
| 接口 | 说明 |
|---|---|
AddProtectPID、RemoveProtectPID、AddAllowPID、RemoveAllowPID | 保护名单 与 白名单。 |
HideProcess、ProtectProcess、ProtectProcess2 | 隐藏/保护 进程(版本差异见详情页)。 |
ProtectWindow | 防截图 等窗口保护(与 图像处理 截图有关)。 |
SetMemoryMode | 驱动层 内存访问模式。 |
FakeProcess | 伪装 进程信息。 |
KeOpenProcess、KeOpenThread | 内核态 打开进程/线程句柄(与 ring3 OpenProcess 不同)。 |
ExportDriver、ImportDriver、ImportDriverFromFile | 导出/导入 驱动 blob(自签名、迁移场景)。 |
InjectDll | 与 注入 分类可能互补,以详情页为准。 |
三、文件保护子系统:ProtectFile*
| 方向 | 接口示例 |
|---|---|
| 驱动开关 | ProtectFileEnableDriver、ProtectFileDisableDriver |
| 过滤器 | ProtectFileStartFilter、ProtectFileStopFilter、ProtectFileTestDriver |
| 路径策略 | ProtectFileAddProtectedPath、Remove、Clear、Query |
| 进程名单 | AddWhitelist、Remove、Clear、QueryWhitelist;黑名单 同理 |
与 VipProtect 差异:ProtectFile 偏 文件系统路径 与 过滤驱动;VipProtect 见下一节。
四、VipProtect 子系统
| 方向 | 接口 |
|---|---|
| 总开关 | VipProtectEnableDriver、VipProtectDisableDriver |
| 条目 | VipProtectAddProtect、RemoveProtect、ClearAll |
| 名单 | AddWhitelist、RemoveWhitelist、ClearWhitelist;黑名单同理 |
与 ProtectFile 差异:VipProtect 为 另一套高级保护策略(具体策略对比见详情页),勿混用配置键。
五、快速选型
| 需求 | 建议 |
|---|---|
| 防止截图被截 | ProtectWindow + 截图模式文档 |
| 保护某目录不被读写 | ProtectFile* 路径与黑白名单 |
| 迁移自签名驱动 | ExportDriver → 目标机 ImportDriverFromFile / ImportDriver(默认内置驱动无需此步骤) |
六、注意
- 蓝屏、卡死、杀软拦截为常见风险;生产环境 必须先在 虚拟机 验证。
- 若某接口在侧栏被注释掉(如部分 VT 伪写),以 当前仓库 与 发行说明 为准。