HOOK SSDT

最新推荐文章于 2022-09-07 16:19:48 发布
最新推荐文章于 2022-09-07 16:19:48 发布
阅读量1k 收藏
点赞数
分类专栏: Kernel 文章标签: hook object string 2010

HOOK SSDT

分类: Rootkit﹏ 2010-09-12 20:57 59人阅读 评论(0) 收藏 举报

[cpp] view plain copy print ?
  1. NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath )
  2. {
  3. DriverObject->DriverUnload = OnUnload;
  4. Hook();
  5. return STATUS_SUCCESS;
  6. }
  9. // 此处修改SSDT中的NtOpenProcess服务地址
  10. VOID Hook()
  11. {
  12. ULONG Address;
  13. // 0x7A为NtOpenProcess服务号
  14. Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;
  15. RealServiceAddress = *(ULONG*)Address;
  17. RealNtOpenProcess = (NTOPENPROCESS)RealServiceAddress;
  19. DbgPrint( "Address of Real NtOpenProcess: 0x%08X/n", RealServiceAddress );
  21. DbgPrint(" Address of MyNtOpenProcess: 0x%08X/n", MyNtOpenProcess );
  23. // 去掉内存保护 ,这个主要是跟内存分页有关的,出现BSOD
  24. __asm
  25. {
  26. cli
  27. mov eax, cr0
  28. and eax, not 10000h
  29. mov cr0, eax
  30. }
  32. // 修改SSDT中NtOpenProcess服务的地址
  33. *((ULONG*)Address) = (ULONG)MyNtOpenProcess;
  35. // 恢复内存保护
  36. __asm
  37. {
  38. mov eax, cr0
  39. or eax, 10000h
  40. mov cr0, eax
  41. sti
  42. }
  43. }
  46. //这里是恢复
  47. VOID Unhook()
  48. {
  49. ULONG Address;
  50. Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;
  52. //一样的去掉内存保护
  53. __asm
  54. {
  55. cli
  56. mov eax, cr0
  57. and eax, not 10000h
  58. mov cr0, eax
  59. }
  61. // 还原SSDT
  62. *((ULONG*)Address) = (ULONG)RealServiceAddress;
  64. __asm
  65. {
  66. mov eax, cr0
  67. or eax, 10000h
  68. mov cr0, eax
  69. sti
  70. }
  72. DbgPrint("Unhook");
  73. }
  76. 本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/webxeyes/archive/2009/03/17/3996783.aspx

anhkgg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动层hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
HookSSDT
ming_taizi的博客
04-15 820
HookSSDT这篇文章主要讲述HookNtOpenProcess函数阻止暴力枚举进程以及学习过程中遇到的相关问题以及解决方法 OpenProcess调用的主要过程: 关键步骤解释及代码片段 完整代码 在HookSSDT的过程中遇到的问题 大家遇到问题也可以直接在下面评论,咱们可以一起探索一下 文章一部分参考自博客http://www.cnblogs.com/yifi/p/4898406.html
HOOK SSDT 实现内核级的进程保护
Windows内核学习笔记
07-07 546
SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。 SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4396
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
SSDT】SSDT hook技术
dr0op's blog
09-07 2078
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
SSDT Hook nt!zwReadVirtualMemory 的完整代码
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
09-19
1。获取ssdt函数个数 2。获取ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址和ssdt表中的索引,修改ssdt表。
Hook SSDT的源码 SSDT
08-28
SSDT HookSSDT HookSSDT HookSSDT HookSSDT HookSSDT Hook
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Yolov5目标检测和deepsort目标跟踪无人机跟踪.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
数据库课程设计实战.zip
05-05
数据库课程设计后端 使用Springboot + Mybatis + Redis + Maven 数据库课程设计实战.zip,使用到了所有的相关SQL 的操作,如增删改查等,让你可以在一个项目里面,锻炼到所有的数据库相关的知识。项目亲测可以运行,里面含有运行相关的文档,不会的可以丝我请求帮助。 数据库课程设计后端 使用Springboot + Mybatis + Redis + Maven 具体的表和相关的数据如下: 用户(电话号码,密码,身份证号,邮箱,真实姓名,用户类型,性别,地址) 乘客(用户电话号码,乘客身份证号,乘客真实姓名,乘客电话号码,乘客类型,地址) 列车信息(列车编号,车次,列车类型,列车车厢数,列车始发站,列车终点站,列车开车时间,列车到达时间,列车到达日期,列车运行时间,列车状态) 列车座位信息(列车编号,车厢号,座位类型,座位数) 列车经停信息(列车编号,车次,车站编号,车站名,到达时间,总运行时间,开车时间) 订单信息(订单编号,用户电话号码,乘客身份证号码,列车编号,出发站编号,到达站编号,车厢号,座位编号,订单创建时间,订单状态,开车时间)
咨询的分析方法gl.ppt
05-05
咨询的分析方法gl.ppt
node-v10.14.0-linux-ppc64le.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Vt hook ssdt
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值