项目地址：https://github.com/Idov31/Nidhogg
Nidhogg 是一款多功能 rootkit，旨在展示内核空间可执行的各种操作。Nidhogg 的目标是提供一个功能齐全、易于使用的 rootkit，并提供多种实用功能。此外，它还可以轻松集成到您的 C2 框架中。

Nidhogg 可在任何版本的 x64 Windows 10 和 Windows 11 上运行。

该仓库包含一个内核驱动程序以及一个用于与其通信的 C++ 程序。

如果你想了解更多信息，请查看[维基百科](https://github.com/Idov31/Nidhogg/wiki)上的详细解释。

## 当前功能

[](https://github.com/Idov31/Nidhogg#current-features)

重要的

所有功能均已在 Windows 11 25H2 版本上进行全面测试。如果您遇到问题，请在确认尚无已提交的问题后再提交新的问题。

*   进程隐藏和取消隐藏
*   工艺提升
*   工艺保护（防杀伤和排空）
*   绕过内存扫描器（例如[pe-sieve](https://github.com/hasherezade/pe-sieve)）
*   线程隐藏和取消隐藏
*   线材保护（防死线）
*   文件保护（防删除和防覆盖）
*   注册表项和值保护（防删除和防覆盖）
*   隐藏注册表项和值
*   列出当前受保护或隐藏的进程、线程、文件、端口、注册表项和值
*   功能修补
*   内置 AMSI 旁路
*   内置 ETW 补丁
*   进程签名（PP/PPL）修改
*   可反射加载
*   Shellcode注入
    *   装甲运兵车
    *   NtCreateThreadEx
*   DLL注入
    *   装甲运兵车
    *   NtCreateThreadEx
*   列出内核回调函数
    *   对象回调
    *   进程和线程创建例程
    *   图像加载例程
    *   注册表回调
*   移除和恢复内核回调
*   禁用/启用 ETW 提供程序（例如 ETW-TI）
*   模块隐藏和显示
*   司机隐藏和取消隐藏
*   凭证转储
*   端口隐藏和取消隐藏
*   用于内核模式 COFF 执行的 Nidhogg 目标文件 (NOF)

## 反射载荷

[](https://github.com/Idov31/Nidhogg#reflective-loading)

警告

使用反射加载时，某些功能默认会被禁用，隐藏模块的自动优雅卸载和回调函数的解除绑定功能也无法正常工作。用户有责任在进程终止时手动卸载所有隐藏模块，并在目标驱动程序卸载时解除所有回调函数的绑定。否则，可能会导致系统不稳定或崩溃。

[自 v0.3 版本起，Nidhogg 可以通过kdmapper](https://github.com/TheCruZ/kdmapper)反射加载，但由于驱动程序注册回调时[PatchGuard](https://en.wikipedia.org/wiki/Kernel_Patch_Protection)会自动触发，因此 Nidhogg 将不会注册任何回调。这意味着，如果您使用反射加载驱动程序，这些功能默认情况下将被禁用：

*   过程保护
*   螺纹保护
*   注册操作

## Nidhogg 对象文件 (NOF)

[](https://github.com/Idov31/Nidhogg#nidhogg-object-file-nof)

自 v2.0 版本起，Nidhogg 新增了一项名为“Nidhogg 对象文件”（NOF）的功能，用于内核模式 COFF 执行。这意味着您可以编写自己的内核模式代码并将其编译成 COFF 文件，该文件可以访问以下内容：

*   Windows 内核 (ntoskrnl) API
*   系统调用
*   Nidhogg 的 API（将在 v2.1 版本中推出）

此功能与基于虚拟化的安全 (VBS)**不**兼容，因为它违反了 HVCI 和 kCFG。

## 脚本执行（已在 V2.0 中弃用）

[](https://github.com/Idov31/Nidhogg#script-execution-deprecated-in-v20)

自 v1.0 版本起，Nidhogg 可以执行[NidhoggScripts——](https://github.com/Idov31/NidhoggScript)这是一种允许用户按顺序执行多个命令的工具，从而为 Nidhogg 创建 playbook。要了解如何编写 playbook，请查看[wiki](https://github.com/Idov31/NidhoggScript/wiki)。

由于维护难度大且使用率不高，该功能已在 v2.0 版本中弃用，并将于下一个主要版本中移除。取而代之的是名为“Nidhogg 对象文件”（NOF）的内核模式 COFF 执行功能，该功能可以访问 Nidhogg 的 API。

## 初始操作（已在 V2.0 中弃用）

[](https://github.com/Idov31/Nidhogg#initial-operations-deprecated-in-v20)

自 v1.0 版本起，Nidhogg 还可以将[NidhoggScripts](https://github.com/Idov31/NidhoggScript)作为初始操作执行。也就是说，如果它`out.ndhg`在项目根目录（与 Python 文件位于同一目录）中检测到该文件，则每次驱动程序运行时都会执行该文件。

由于维护难度大且使用率不高，该功能已在 v2.0 版本中弃用，并将于下一个主要版本中移除。取而代之的是名为“Nidhogg 对象文件”（NOF）的内核模式 COFF 执行功能，该功能可以访问 Nidhogg 的 API。

## PatchGuard触发功能

[](https://github.com/Idov31/Nidhogg#patchguard-triggering-features)

警告

已知以下功能会触发[PatchGuard](https://en.wikipedia.org/wiki/Kernel_Patch_Protection)，您仍可自行承担风险使用它们。

*   进程隐藏
*   文件保护
*   司机隐藏

## 基本用法

[](https://github.com/Idov31/Nidhogg#basic-usage)

要查看可用的命令，您可以运行`NidhoggClient.exe`或查看[wiki](https://github.com/Idov31/Nidhogg/wiki)以获取有关如何使用每个命令、它接受的参数以及如何工作的详细信息。

NidhoggClient.exe

# Simple usage: Hiding a process
NidhoggClient.exe process hide 3110

WIN系统红队Rootkit项目2