Windows Rootkit Driver (KMDF)

Windows Kernel Rootkit — KMDF Driver

Driver de kernel para Windows 10/11 que implementa técnicas clásicas de rootkit a nivel de kernel:

• Process Hiding — Manipulación de la lista doblemente enlazada EPROCESS (DKOM) para ocultar procesos del Task Manager y herramientas de enumeración.
• File Hiding — Hook de IRP_MJ_DIRECTORY_CONTROL en el filesystem driver para filtrar archivos/directorios específicos de los listings.
• Network Connection Hiding — Hook de NsiEnumerateObjectsAllParametersEx para ocultar conexiones TCP/UDP de netstat y herramientas similares.
• Registry Key Protection — Callback de CmRegisterCallbackEx para proteger claves de registro de eliminación.
• Usermode Loader — Programa que carga el driver sin necesidad de firma digital (requiere Test Signing Mode o DSE bypass separado).
• Comunicación user-kernel — IOCTL interface para controlar el rootkit desde usermode.

Requisitos: Windows Driver Kit (WDK), Visual Studio 2019+, Windows 10/11 con Test Signing habilitado para desarrollo.