HOOK SSDT禁用内存写保护

最新推荐文章于 2021-07-12 12:50:22 发布
最新推荐文章于 2021-07-12 12:50:22 发布
阅读量1.3k 收藏 2
点赞数

cr0的第16位是WP位,只要将这一位置0就可以禁用写保护,置1则可将其恢复。

// 关闭写保护
__asm
{
    cli ;
    mov eax, cr0
    and  eax, ~0x10000
    mov cr0, eax
}

// 恢复写保护
__asm
{
    mov  eax, cr0
    or     eax, 0x10000
    mov  cr0, eax
    sti ;
}


MDL的全称是Memory Descriptor List,即内存描述符表


typedef struct _MDL 
{
    struct _MDL  *Next;
    CSHORT       Size;
    CSHORT       MdlFlags;
    struct _EPROCESS *Process;
    PVOID          MappedSystemVa;
    PVOID          StartVa;
    ULONG         ByteCount;
    ULONG   ByteOffset;
} MDL, *PMDL;

我们先来看一段在SSDT HOOK中常见的代码,如下所示:
PMDL MDSystemCall;
PVOID *MappedSCT;

MDSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4);
if(!MDSystemCall)
{
    return STATUS_UNSUCCESSFUL;
}
MmBuildMdlForNonPagedPool(MDSystemCall);
MDSystemCall->MdlFlags |= MDL_MAPPED_TO_SYSTEM_VA;
MappedSCT = MmMapLockedPages(MDSystemCall, KernelMode);
HookOn( ZwTerminateProcess, New_ZwTerminateProcess);


whitesilt
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内核读只读内存方法总结[Delphi描述]
05-15 1463
作 者: Anskya以下代码均已Delphi描述...至于为什么...首先我是一个Delphi Coder...虽然我大部分时间使用的是ASM编译器和C编译器但是我喜欢Delphi...好了不废话了...已知的三种方法:如果各位有更好的意见欢迎大家提出[1]使内存可读1.stl+cr0:这个方法大家想必经常使用...(参考I-32.3A文档)由于cr0是一个32位寄存器...假设大家的CPU是
Win64 驱动内核编程-27.强制读保护内存
热门推荐
天使也掉毛
03-31 1万+
强制读保护内存     某些时候我们需要读别的进程的内存,某些时候别的进程已经对自己的内存做了保护,这里说四个思路(两个R3的,两个R0的)。  方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进
内核模式下关闭/开启保护(WriteProtect)
輚至消亡
07-12 3003
在内核态下,数据段受到保护,并非可以直接修改,控制保护的就是一个比特位,其位于CR0寄存器的第17位(即索引为16)。 在x86下可以通过内联汇编来修改该位。但是在64位下无法使用内联汇编了。还是有办法可以实现对WP位的控制。 // 关闭CR0控制寄存器内的WP位 KIRQL WriteProtectOff() { KIRQL OldIrql = 0; ULONG_PTR cr0 = 0; // 提升IRQL等级到Dispatch Level OldIrql = KeRaiseIr.
关于SSDT HOOK取消内存保护的问题
huobengle
10-02 182
有些人说不去掉也不会蓝屏,照样能HOOK成功 确实,我当时也是这样过。。。 不过拿给别人机器一测试就蓝了 网上找到了MJ给出的答案:当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可的,这种情况下直接改是没有问题的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Manage...
Windows X64关闭内存保护和打开内存保护的代码
wing的专栏
03-20 5180
 关闭内存保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存保护
内存保护内存篡改文档
09-05
文档介绍了内存保护的相关知识,给出了堆溢出和栈溢出的护方法,介绍了基于内存自省技术的虚拟机安全护策略
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动层hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
ssdthook技术实现止进程关闭
04-21
使用ssdthook技术实现进程止关闭功能,包含完整代码,代码注释齐全。
SSDT.rar_SSDT-HOOK_ssdt
09-19
挂钩SSDT,通过驱动和hook函数进行进程控制。
HookDemo_SSDT
05-19
HookDemo_SSDT SSDT hook 的简单例子
SSDT-hook进程隐藏和文件隐藏
11-30
Windows内核态SSDT-hook实现进程隐藏和文件隐藏,代码很规整,学习内核编程的好例子 -a good example of studying kernel programing or driver developing, SSDT hook
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4125
三个主要的函数:NtQueryDirectoryFile、NtCreateFile、NtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
挂钩SSDT隐藏进程
小麒麟的书桌
10-22 1536
(本文发表于黑访11期上,请勿转载) 新学期又开始了,一来到学校我口袋的资金剧烈减少,我估计因该和现在轻微的通货膨胀有关(其实是我开学乱花钱花的),没有办法只好也来黑算是“骗”点钱花了。嘿嘿。最近大家对于ring0级的研究正如当年的注入一样越来越火,认识的朋友似乎张口闭口都是内核,看来这有可能是以后的趋势了,在下不才在此献上一篇文章,算是抛砖引玉。希望以后有更好的文章发表出来。^_^
Linux内核内存保护,Linux内核学习-----内存管理
weixin_39963080的博客
04-30 669
#include < signal.h > //信号头文件,定义信号符号常量,信号结构以及信号操作函数原型#include < asm/system.h > //系统头文件,定义了设置或是修改描述符/中断门等的嵌入式汇编宏#include < linux/sched.h >//调度程序头文件,定义了任务结构taskstruct,初始化任务0的数据,还有一些有...
Cr0内核打开关闭保护
haodawei123的博客
02-12 3503
////////////////////////////////////////////下面是32位编程实现///////////////////////////////////////////////////////////////////// // 关闭保护 #pragma PAGEDCODE void OpenGate() { __asm { cli;//将处理器标志寄存器的中断标志位清0...
x64技术之SSDT_Hook
Hades的博客
05-10 5525
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值