SSDTHOOK 12123321

最新推荐文章于 2023-06-22 21:49:59 发布
最新推荐文章于 2023-06-22 21:49:59 发布
阅读量274 收藏
点赞数
分类专栏: 系统调用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ADADQDQQ/article/details/119006468
版权

Windows内核 系统调用 钩子技术 ZwOpenProcess 驱动开发
关键词由CSDN通过智能技术生成 
#include <ntddk.h>

typedef struct _KSERVICE_TABLE_DESCRIPTOR {
	PULONG_PTR Base;
	PULONG Count;
	ULONG Limit;
	PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, * PKSERVICE_TABLE_DESCRIPTOR;

extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;

//输入函数名自动获取服务号
#define SYSTEMCALL_INDEX(ServiceFunction) (*(PULONG)((PUCHAR)ServiceFunction + 1))

typedef NTSTATUS(*pfAddr)(
	PHANDLE            ProcessHandle,
	ACCESS_MASK        DesiredAccess,
	POBJECT_ATTRIBUTES ObjectAttributes,
	PCLIENT_ID         ClientId
	);
pfAddr pMyNtOpenProcess = 0;//保存原本的函数地址

//把这个函数替换去SSDT
 NTSTATUS MyZwOpenProcess(
	PHANDLE            ProcessHandle,
	ACCESS_MASK        DesiredAccess,
	POBJECT_ATTRIBUTES ObjectAttributes,
	PCLIENT_ID         ClientId
)
{
	 	 //DbgBreakPoint();
	 DbgPrintEx(77, 0, "ProcessID:%x\r\n", ClientId->UniqueProcess);
	 return pMyNtOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
}

 //关闭写保护
void PageProtectClose()
{
	__asm
	{
		cli//关闭中断
		mov eax,cr0
		and eax, not 10000h
		mov cr0,eax
	}	
}



//开启写保护
void PageProtectOpen()
{
	__asm
	{
		mov eax,cr0
		or eax,10000h
		mov cr0,eax
		sti
	}
}

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	DbgBreakPoint();
	PageProtectClose();
	KeServiceDescriptorTable->Base[0xbe] = (ULONG)pMyNtOpenProcess;
	PageProtectOpen();
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDrvier, PUNICODE_STRING pReg)
{
	PageProtectClose();//关闭页保护
	ULONG uIndex = SYSTEMCALL_INDEX(ZwOpenProcess);
	pMyNtOpenProcess =KeServiceDescriptorTable->Base[uIndex];//保存原本的NtOpenProcess
	KeServiceDescriptorTable->Base[uIndex] = MyZwOpenProcess;//替换NtOpenProcess
	PageProtectOpen();//开启页保护

	pDrvier->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}
ADADQDQQ
关注
专栏目录
SSDT Hook
zhuhuibeishadiao
04-10 3287
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6598
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
vue-router路由动画左滑右滑效果实现
sxl131415的博客
09-10 2001
这里用到路由的钩子函数,组件路由 beforeRouteUpdate。 一个页面是有二级导航的,在切换二级导航的时候,对应的内容是在变化的;这个页面是复用的,只会生成一次,切换二级导航的时,如何知道导航在更新呢?   一个页面有二级导航的时候,点击二级导航的时候导航路径更新了,会触发路由钩子函数beforeRouteUpdate。 Vue模板中的应用: name是定义的过渡动画的名称 ...
SSDT HOOK
qq_45844442的博客
06-22 291
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
SSDT】SSDT hook技术
dr0op's blog
09-07 2296
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
SSDTHook的原理
谢绝(无视)留言与私信
02-08 850
前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看SSDTHook时, 先复习一下SSDT原理, 用Windbg做下试验.记录 /** // SSDT的原理 // 假设要Hook ZwQu
hook pte_菜鸟开始学习SSDT HOOK((附带源码)
weixin_35399893的博客
01-17 607
看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入。在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来。首先我们应该认识 ssdt是什么?从梦无极的讲解过程中,我联想到了这样一个场景:古时候有一户人家,姓李,住在皇宫外面,他们家有一个女儿进皇宫当宫女。有一天,李家的老大爷要送东西给他女儿,我们假定他可以进皇宫,于是就开始了这样一个过程。进皇宫...
SSDT_HOOK
qq_36918532的博客
03-03 282
分别从静态,动态两种方法来hook 静态是直接根据openProcess的调用号0xbe 动态是防止地址发生改变或者其他,来动态函数索引进而HOOK的 #include<ntifs.h> #include<ntimage.h> //提供 PE结构 PULONG g_PageMapMemory = NULL; typedef struct _SSDTItem { PULONG FunAddressTable; ULONG Pknum; ULONG uIndexCount;
SSDTHook
dre4merp
05-16 342
准备学习一下Hook技术,从最简单的SSDT Hook开始。 关于SSDT是什么参考:SSDT知识 SSDT Hook的实现思路就是 将SST表中储存的函数地址换成我们的fake函数的地址,并保存原函数地址 执行我们的fake函数后再调用原函数 从而实现在调用指定函数前进行自定义的处理。 首先我们要找到要挂钩的函数的地址,并保存起来 UNICODE_STRING v1; RtlInitUnicodeString(&v1, L"ZwOpenProcess"); __ZwOpen
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
标题“ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h”中提到了几个关键点: 1. **ssdt_hook.rar**:这是一个压缩包文件,可能包含了关于SSDT Hook的相关代码和资源。 2. **ssdt**:这是SSDT的缩写,表示我们要...
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在本压缩包中,"SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook" 提到了几个关键概念,包括SSDT Hook、nt!zwReadVirtualMemory以及相关的hook技术。 1. SSDT Hook:这是一种技术,用于修改SSDT中的函数指针,以便...
一款面向 AIoT 场景的分布式多模数据库产品,支持在同一实例同时建立时序库和关系库并融合处理多模数据
10-31
KWDB 是一款面向 AIoT 场景的分布式多模数据库产品,支持在同一实例同时建立时序库和关系库并融合处理多模数据,具备千万级设备接入、百万级数据秒级写入、亿级数据秒级读取等时序数据高效处理能力,具有稳定安全、高可用、易运维等特点。
yolo算法-跌倒检测数据集-10787张图像带标签-检测到跌倒fall-detection-ca3o8.zip
10-31
yolo系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值
重庆外语外事学院在四川2020-2024各专业最低录取分数及位次表.pdf
10-31
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
maple学习,本人对maple教程这本书的学习过程
最新发布
10-31
做4.3这一节的时候的maple文件,仅供参考
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值