新手学ssdt_hook_ntopenprocess

最新推荐文章于 2024-01-21 17:54:19 发布
最新推荐文章于 2024-01-21 17:54:19 发布
阅读量536 收藏 1
点赞数
分类专栏: 内核驱动全部集合 
#include "ntddk.h"
 
#pragma pack(1)
typedef struct ServiceDescriptorEntry {
    unsigned int *ServiceTableBase;
    unsigned int *ServiceCounterTableBase;
    unsigned int NumberOfServices;
    unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()
 
NTSTATUS
    PsLookupProcessByProcessId(
    IN HANDLE ProcessId,
    OUT PEPROCESS *Process
    );
__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
 
typedef NTSTATUS(*MYNTOPENPROCESS)(
    OUT PHANDLE             ProcessHandle,
    IN ACCESS_MASK          AccessMask,
    IN POBJECT_ATTRIBUTES   ObjectAttributes,
    IN PCLIENT_ID           ClientId );//定义一个指针函数,用于下面对O_NtOpenProcess进行强制转换
ULONG O_NtOpenProcess;
 
BOOLEAN ProtectProcess(HANDLE ProcessId,char *str_ProtectObjName)
{
    NTSTATUS status;
    PEPROCESS process_obj;
    if(!MmIsAddressValid(str_ProtectObjName))//这个条件是用来判断目标进程名是否有效
    {
        return FALSE;
    }
    if(ProcessId==0)//这个条件是用来排除System Idle Process进程的干扰
    {
        return FALSE;
    }
    status=PsLookupProcessByProcessId(ProcessId,&process_obj);//这句用来获取目标进程的EPROCESS结构
    if(!NT_SUCCESS(status))
    {
        KdPrint(("我错了,这个是错误号:%X---这个是进程ID:%d",status,ProcessId));
        return FALSE;
    }
    if(!strcmp((char *)process_obj+0x174,str_ProtectObjName))//进行比较
    {
        ObDereferenceObject(process_obj);//对象计数器减1,为了恢复对象管理器计数,便于回收
        return TRUE;
    }
    ObDereferenceObject(process_obj);
    return FALSE;
}
NTSTATUS MyNtOpenProcess (
    __out PHANDLE ProcessHandle,
    __in ACCESS_MASK DesiredAccess,
    __in POBJECT_ATTRIBUTES ObjectAttributes,
    __in_opt PCLIENT_ID ClientId
    )
{
    //KdPrint(("%s",(char *)PsGetCurrentProcess()+0x174));
    if(ProtectProcess(ClientId->UniqueProcess,"calc.exe"))
    {
        KdPrint(("%s想打开我吗?不可能。哈哈。。",(char *)PsGetCurrentProcess()+0x174));
        return STATUS_UNSUCCESSFUL;
    }
    //KdPrint(("Hook Success!"));
    return ((MYNTOPENPROCESS)O_NtOpenProcess)(ProcessHandle,//处理完自己的任务后,调用原来的函数,让其它进程正常工作
        DesiredAccess,
        ObjectAttributes,
        ClientId);
}
 
void PageProtectOff()//关闭页面保护
{
    __asm{
        cli
            mov  eax,cr0
            and  eax,not 10000h
            mov  cr0,eax
        }
}
void PageProtectOn()//打开页面保护
{
    __asm{
        mov  eax,cr0
        or   eax,10000h
        mov  cr0,eax
        sti
    }
}
 
void UnHookSsdt()
{
    PageProtectOff();
    KeServiceDescriptorTable.ServiceTableBase[122]=O_NtOpenProcess;//恢复ssdt中原来的函数地址
    PageProtectOn();
}
NTSTATUS ssdt_hook()
{
    //int i;
    //for(i=0;i<KeServiceDescriptorTable.NumberOfServices;i++)
    //{
    //  KdPrint(("NumberOfService[%d]-------%x",i,KeServiceDescriptorTable.ServiceTableBase[i]));
    //}
    O_NtOpenProcess=KeServiceDescriptorTable.ServiceTableBase[122];//保存原来的函数地址
    PageProtectOff();
    //将原来ssdt中所要hook的函数地址换成我们自己的函数地址
    KeServiceDescriptorTable.ServiceTableBase[122]=(unsigned int)MyNtOpenProcess;
    PageProtectOn();
    return STATUS_SUCCESS;
}
void DriverUnload(PDRIVER_OBJECT pDriverObject)
{
    UnHookSsdt();
    KdPrint(("Driver Unload Success !"));
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegsiterPath)
{
    DbgPrint("This is My First Driver!");
    ssdt_hook();
    pDriverObject->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

 

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 406
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
驱动还原:恢复SSDT内核钩子(2)
weixin_30790841的博客
09-21 1098
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的。 通过前面...
Hook NtOpenProcess
07-21
Hook NtOpenProcess 描述字数补丁
SSDT HOOK技术轻松让最新版冰刃、XueTr失效
laobobo999的专栏
05-22 1477
刚开始驱动,成功HOOK NtOpenProces 现在本想试试HOOK NtQuerySystemInformation,没想打它的结构N多N长,也让我很惊讶,这个API居然能获取或者设置超过50多种的信息。        参考网上的一些代码,看的我晕头转向的..也没点解释,而且也没法编译...总算搞清楚 进程信息是以链表的形式存储数据的。虽然没过链表,但也大概有所了解。在做实验过程中
32位/64位WINDOWS驱动之 遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
a756598009的博客
01-21 872
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)
驱动级Rootkit攻击测试——进程隐藏
摔不死的笨鸟的博客
09-16 631
习内核编程,祝早日能编写POC程序! SSDT HOOK NtOpenProcess typedef NTSTATUS(*pfnNtOpenProcess)( PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); pfnNtOpenProcess OldNtOpenProcess; 定义一个指向API的函数指针定义方法。作用是定义API函数指针备份原来的函数地址。 typedef struct _SERVICE_DESCRIPTOR_T
汇编与驱动-采用SSDT Hook NtOpenProcess保护进程
kingswb的博客
05-01 1323
标 题: 汇编与驱动-采用SSDT Hook NtOpenProcess保护进程 作 者: organic 时 间: 2012-07-09,21:05:47 链 接: http://bbs.pediy.com/showthread.php?t=153176 作为一个热爱汇编的人被迫使用C或者C++写驱动是一件很难受的事情,特别是在做一些邪恶的事情的时候,你总会发现汇编就是一只恶魔之手,
Windows驱动开发习记录- Hook NtCreateProcessEx/NtCreateUserProcess实现创建进程过滤
时空之中的灵魂
11-14 1183
SSDT HookSSDT InlineHook的一点记录。 1.实现前提 使用常规的SSDT hook或者 SSDT inline hook进行挂钩,这里只讨论过滤函数的实现和调试中的一些问题。测试环境为XP sp3 x86 和 Win7 SP1 x86。 2.两个系统的差别 Win7以上的系统环境,在后来系统中创建的进程的是NtCreateUserProcess,之前一直挂钩NtCreateProcessEx并不起作用,这里需要注意...
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 1986
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT HOOK引擎,调用HookService()之前应该先调用InitServicesTalbe()来对SSDT进行一次性的保存,避免后面多次HOOK就要保存多次 !
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
SSDT Hook nt!zwReadVirtualMemory 的完整代码
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
一个可以导出、写入SSDT表的驱动。链接名称:L"SSDT" 支持I/O操作:GET_HOOK,SET_HOOK,GET_PROC,SET_PROC
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
ssdt hook,最简单的内核技术,多用于保护进程。
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
09-19
1。获取ssdt函数个数 2。获取ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址和ssdt表中的索引,修改ssdt表。
BP神经网络matlab实例.doc
最新发布
04-25
模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
alter table p_part_version Add column `ssdt_child_type_id` int(11) DEFAULT NULL after `is_get_sapno`;
06-12
这是一条 MySQL 数据库的语句,用于在表 `p_part_version` 中添加一个名为 `ssdt_child_type_id` 的列,其类型为 `int(11)`,默认值为 `NULL`,并且该列将会在 `is_get_sapno` 列后添加。这条语句的作用是修改数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值