Windows内核新手上路2——挂钩shadow SSDT

最新推荐文章于 2021-10-28 10:41:02 发布
原创 最新推荐文章于 2021-10-28 10:41:02 发布 · 3.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #descriptor #hook #工作 #system #table

本文介绍了Windows内核新手如何挂钩Shadow SSDT进行窗口保护、安全输入和截屏保护。通过挂钩特定系统服务,如NtUserSendInput防止恶意模拟按键,NtUserOpenDesktop确保安全桌面不被渗透,NtGdiBitBlt和NtGdiStretchBlt防止截屏保护,以增强系统安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows内核新手上路2——挂钩shadow SSDT

         文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowExNtUserGetForegroundWindowNtUserBuildHwndListNtUserQueryWindowNtUserWindowFromPointNtUserSetParentNtUserPostMessageNtUserMessageCallNtUserSetWindowLongNtUserShowWindowNtUserDestroyWindowNtUserCallHwndParamLock用于窗口保护,挂钩了NtUserSendInputNtUserGetAsyncKeyStateNtUserOpenDesktopNtUserTranslateMessage用于安全输入,挂钩NtGdiBitBltNtGdiStretchBlt用于截屏保护。

 

a)      Shadow SSDT简介

Shadow SSDT,亦可称SSSDT,英文全名Shadow System Services Descriptor Table,中文直译阴影系统服务描述表Shadow SSDT管的是图形、用户相关的函数(gdi32.dlluser32.dll)。

SSDT SHANDOW的结构跟SSDT的结构类似(见Windows内核新手上路1——挂钩SSDT

最低0.47元/天 解锁文章
做X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2552
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
win10 tagWnd部分成员逆向(窗口隐藏,窗口保护)
zhuhuibeishadiao
06-04 7115
题外话:窗口隐藏:效果就是spy++ 彗星小助手发现不了窗口,但是窗口确实存在.(副作用:不透明窗口,鼠标不穿透窗口白屏或无反应,进程退出蓝屏(如果恢复了就不会)) 一大波黑产在路上了??? 怎么隐藏呢? 跟断链一致,前一个的下一个等于当前的下一个,后一个的前一个等于当前的前一个.已经说的很明白了! 另外在17763及以上,在你内核修改是木有效果的哦.具体可以自己研究一下应用层的tagWn...
WINDOWS内核学习笔记1—Shadow SSDT
rosykee的专栏
10-09 970
近期学习内核
内核层获取窗口HWND
陈刚编程心得与知识集
03-02 1152
使用ZwQuerySystemInformation函数 根据SystemProcessesAndThreadsInformation遍历到PID, 然后用SystemHandleInformation遍历找到匹配PID的HANDLE, 怎么根据HANDLE找到主窗口的HWND
关于win7下r3窗口进程保护的一些方式
被遗弃的庸才博客
08-06 2392
背景 随着Windows PG保护的出现,过去内核挂钩inline hook的时代逐渐远去,hook OpenProcess的日子也一去不复返了。那么,如果想在Windows操作系统上不那么轻易的被结束掉(这里主要考虑不在r3被结束,都在内核还干不掉你),有没有什么方法? 常见方式 通常情况下如果是在r0,注册一个ObRegisterCallbacks回调,对PROCESS_TERMINATE权限进行限制,就能解决别人调用TerminateProcess结束进程的情况。 if (pOperatio
Hook ShadowSSDT Ring3
11-28
总的来说,Hook ShadowSSDT Ring3是Windows系统中一种高级的调试和监控技术,它涉及操作系统内核的理解、内存操作和函数拦截等复杂概念。通过掌握这一技术,你可以更深入地了解系统行为,同时也要警惕其潜在的安全...
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2986
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
Windows10高版本SSDT获取方法及工程实现
2. SSDT在高版本Windows中的变化 随着Windows系统的更新和安全性的增强,Microsoft对系统的内部机制进行了修改以提供更好的防护。在高版本的Windows中,比如Windows 10,为了增强系统的安全性,引入了页表隔离技术,...
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 567
在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 2295
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
Anti-Screen Capture(Prevent Screen Captures)截屏与反截屏
Koma的主页
05-07 8010
1.数字图片使用类似与动画的方式显示,每次显示的是数字的一部分,当动态显示的时候人眼是可以分辨出具体数字的。但是截图的话就只能截取一部分,参考: cups.cs.cmu.edu/soups/2007/posters/p147_lim.pdf 2.屏蔽系统按键:Print Screen 和 Alt + Print Screen,主要原理是注册热键的方式,参考: http://www.v
HOOK SSDT AND HOOK Shadow SSDT FOR DELPHI
12-09 1957
 by bujin999unit Driver;interfaceuses   nt_status,ntoskrnl,ntutils;const  DeviceName = /Device/360safeBoxA;  DosDeviceName = /DosDevices/360safeBoxA;  IOCTL_HOOK_START      = $0022E000;  IOCTL_H
分析了一下360安全卫士的hook(zt)
lionzl的专栏
07-11 3428
分析了一下360安全卫士的hook(zt)2010-6-3 18:36阅读(12) 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简
搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys
老裴
01-21 3645
1.用RKU看一下SSDTSSDTShadow,发现SSDT并没有被HOOKSSDTShadow HOOK了5个调用:NtUserBuildHwndListNtUserFindWindowExNtUserGetDCNtUserGetDCExNtUserGetForegroundWindow想也不用想,肯定是为了防止其他软件找到他的窗口。解决方法:在TesSafe加载前先加载自己的驱动,备份这5
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值