Windows内核新手上路2——挂钩shadow SSDT

最新推荐文章于 2021-08-06 18:50:23 发布
最新推荐文章于 2021-08-06 18:50:23 发布
阅读量3.5k 收藏 5
点赞数
分类专栏: Windows内核新手上路 文章标签: windows descriptor hook 工作 system table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gimbow/article/details/5882549
版权
本文介绍了Windows内核新手如何挂钩Shadow SSDT进行窗口保护、安全输入和截屏保护。通过挂钩特定系统服务,如NtUserSendInput防止恶意模拟按键,NtUserOpenDesktop确保安全桌面不被渗透,NtGdiBitBlt和NtGdiStretchBlt防止截屏保护,以增强系统安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows内核新手上路2——挂钩shadow SSDT

         文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowExNtUserGetForegroundWindowNtUserBuildHwndListNtUserQueryWindowNtUserWindowFromPointNtUserSetParentNtUserPostMessageNtUserMessageCallNtUserSetWindowLongNtUserShowWindowNtUserDestroyWindowNtUserCallHwndParamLock用于窗口保护,挂钩了NtUserSendInputNtUserGetAsyncKeyStateNtUserOpenDesktopNtUserTranslateMessage用于安全输入,挂钩NtGdiBitBltNtGdiStretchBlt用于截屏保护。

 

a)      Shadow SSDT简介

Shadow SSDT,亦可称SSSDT,英文全名Shadow System Services Descriptor Table,中文直译阴影系统服务描述表Shadow SSDT管的是图形、用户相关的函数(gdi32.dlluser32.dll)。

SSDT SHANDOW的结构跟SSDT的结构类似(见Windows内核新手上路1——挂钩SSDT

最低0.47元/天 解锁文章
程序防多开之二:程序窗口检测
RitMan的博客
12-12 1471
通过循环调用NtUserFindWindowEx()来获取窗口句柄,并通过窗口句柄获取PID,实现多开检测.
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 2207
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
做X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2534
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
WINDOWS内核学习笔记1—Shadow SSDT
rosykee的专栏
10-09 945
近期学习内核
win10 tagWnd部分成员逆向(窗口隐藏,窗口保护)
zhuhuibeishadiao
06-04 6917
题外话:窗口隐藏:效果就是spy++ 彗星小助手发现不了窗口,但是窗口确实存在.(副作用:不透明窗口,鼠标不穿透窗口白屏或无反应,进程退出蓝屏(如果恢复了就不会)) 一大波黑产在路上了??? 怎么隐藏呢? 跟断链一致,前一个的下一个等于当前的下一个,后一个的前一个等于当前的前一个.已经说的很明白了! 另外在17763及以上,在你内核修改是木有效果的哦.具体可以自己研究一下应用层的tagWn...
内核层获取窗口HWND
陈刚编程心得与知识集
03-02 1139
使用ZwQuerySystemInformation函数 根据SystemProcessesAndThreadsInformation遍历到PID, 然后用SystemHandleInformation遍历找到匹配PID的HANDLE, 怎么根据HANDLE找到主窗口的HWND
关于win7下r3窗口进程保护的一些方式
被遗弃的庸才博客
08-06 2353
背景 随着Windows PG保护的出现,过去内核挂钩inline hook的时代逐渐远去,hook OpenProcess的日子也一去不复返了。那么,如果想在Windows操作系统上不那么轻易的被结束掉(这里主要考虑不在r3被结束,都在内核还干不掉你),有没有什么方法? 常见方式 通常情况下如果是在r0,注册一个ObRegisterCallbacks回调,对PROCESS_TERMINATE权限进行限制,就能解决别人调用TerminateProcess结束进程的情况。 if (pOperatio
Windows内核新手上路3——挂钩KeUserModeCallBack
gimbow的专栏
09-14 2738
Windows内核新手上路3——挂钩KeUserModeCallBack1.     简介在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下:nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDispatcher->回调函数-> int2B->nt!KiCallbackReturn-> nt!KeUserModeCall
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2973
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
Hook ShadowSSDT Ring3
11-28
总的来说,Hook ShadowSSDT Ring3是Windows系统中一种高级的调试和监控技术,它涉及操作系统内核的理解、内存操作和函数拦截等复杂概念。通过掌握这一技术,你可以更深入地了解系统行为,同时也要警惕其潜在的安全...
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 552
在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
Hook Shadow SSDT(源码)
08-18
Hook Shadow SSDT.c的源代码,适合于学习以及应用分析。
HOOK SSDT AND HOOK Shadow SSDT FOR DELPHI
12-09 1936
 by bujin999unit Driver;interfaceuses   nt_status,ntoskrnl,ntutils;const  DeviceName = /Device/360safeBoxA;  DosDeviceName = /DosDevices/360safeBoxA;  IOCTL_HOOK_START      = $0022E000;  IOCTL_H
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 763
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMes...
(转)HOOK SHADOW SSDT
weixin_30414635的博客
12-20 160
http://www.vcfans.com/2010/04/hook-shadow-ssdt.html 作 者: sislcb原 文:http://bbs.pediy.com/showthread.php?t=65931 网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里...
RegisterShellHookWindow使用
myworldbig的专栏
04-25 4000
2010年03月10日 星期三 20:12<br />   今晚因为某种用途用到RegisterShellHookWindow ,使用还是比较简单的,功能也不错,详细看下MSDN。把代码贴出来<br />HWND Hwnd = GetSafeHwnd();<br /><br />msgShellHook = RegisterWindowMessage("SHELLHOOK");<br />    <br />RegisterShellHookWindow( Hwnd );<br />    <br />lp
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 4203
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
VC里面快速调用Nt系列函数示例方法
Koma的主页
12-19 5475
VC里面快速调用Nt系列函数示例方法,以NtTerminateProcess结束自己为例 当初研究的目的也只是为了一个稳定通用的ring3 inline hook bypass funaddr + 5的方法除外,如果你还有其他方法或思路,欢迎交流指导!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值