x86下以ntopenprocess为例的SSDTHook

最新推荐文章于 2021-07-18 18:58:02 发布
最新推荐文章于 2021-07-18 18:58:02 发布
阅读量393 收藏
点赞数
分类专栏: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_36226689/article/details/65454762
版权 
#include "SSDTHook32.h"

PVOID   __ServiceTableBase = NULL;
ULONG32 __NtOpenProcessIndex = 0;
PVOID   __OldNtOpenProcess = NULL;
BOOLEAN __IsHook = FALSE;
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisterPath)
{
	NTSTATUS Status = STATUS_SUCCESS;
	ULONG32  v1 = 0;
	char FunctionName[] = "NtOpenProcess";				//要钩的函数名
	DriverObject->DriverUnload = Unload;
	__NtOpenProcessIndex = 0x0be;
	/*
	ntdll!ZwOpenProcess:
77585dc8 b8be000000      mov     eax,0BEh
77585dcd ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
77585dd2 ff12            call    dword ptr [edx]
77585dd4 c21000          ret     10h
77585dd7 90              nop
*/

	//这里我们得知函数索引为0be
	//并且直接得到了SSDT地址即 extern PSERVER_SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;
	if (KeServiceDescriptorTable == NULL)
	{
		return Status;
	}

	//base首地址   SSDT第一成员
	__ServiceTableBase = ((PSERVER_SERVICE_DESCRIPTOR_TABLE)KeServiceDescriptorTable)->Unknow0;
	//需要的函数(直接地址)
	__OldNtOpenProcess = ((PULONG32)__ServiceTableBase)[__NtOpenProcessIndex];

	//直接更改函数地址
	HookSSDT(__ServiceTableBase, __NtOpenProcessIndex, FakeOpenProcess);
	return Status;
}
VOID HookSSDT(PVOID ServiceTableBase, ULONG32 SSDTFunctionIndex, PVOID FakeFunctionAddress)
{
	ULONG32  v1 = 0;

	WPOFF();
	((PULONG32)__ServiceTableBase)[__NtOpenProcessIndex] = FakeFunctionAddress;
	WPON();


	__IsHook = TRUE;
}
VOID UnHookSSDT()
{
	WPOFF();
	((PULONG32)__ServiceTableBase)[__NtOpenProcessIndex] = __OldNtOpenProcess;
	WPON();
}
VOID WPOFF()
{
	_disable();
	__writecr0(__readcr0() & (~(0x10000)));

}
VOID WPON()
{
	__writecr0(__readcr0() ^ 0x10000);
	_enable();
}
VOID Unload(PDRIVER_OBJECT DriverObject)
{
	DbgPrint("ByeByeDriver\r\n");


	if (__IsHook)
	{
		UnHookSSDT();


		__IsHook = FALSE;
	}


}
NTSTATUS FakeOpenProcess(
	_Out_    PHANDLE            ProcessHandle,
	_In_     ACCESS_MASK        DesiredAccess,
	_In_     POBJECT_ATTRIBUTES ObjectAttributes,
	_In_opt_ PCLIENT_ID         ClientID)
{

	PEPROCESS  EProcess = PsGetCurrentProcess();    //进程上下背景文
	if (EProcess != NULL&&MmIsAddressValid(EProcess))
	{
		//通过EProcess 获得进程名称 

		char *ProcessImageName = PsGetProcessImageFileName(EProcess);    //0x2e0 
		if (strstr(ProcessImageName, "EnumProcess") != 0)
		{
			return STATUS_ACCESS_DENIED;  //黑名单
		}
	}

	((pfnNtOpenProcess)__OldNtOpenProcess)(ProcessHandle, DesiredAccess, ObjectAttributes, ClientID);  //白名单
}

//以上为代码实现

运行环境为win7(32)

#pragma once
#include <ntddk.h>
typedef struct _SERVER_SERVICE_DESCRIPTOR_TABLE_
{
	PVOID Unknow0;
	PVOID Unknow1;
	PVOID Unknow2;
	PVOID Unknow3;
}SERVER_SERVICE_DESCRIPTOR_TABLE, *PSERVER_SERVICE_DESCRIPTOR_TABLE;


VOID Unload(PDRIVER_OBJECT DriverObject);
VOID HookSSDT(PVOID ServiceTableBase, ULONG32 SSDTFunctionIndex, PVOID FakeFunctionAddress);
VOID UnHookSSDT();
VOID WPOFF();
VOID WPON();
NTSTATUS FakeOpenProcess(
	_Out_    PHANDLE            ProcessHandle,
	_In_     ACCESS_MASK        DesiredAccess,
	_In_     POBJECT_ATTRIBUTES ObjectAttributes,
	_In_opt_ PCLIENT_ID         ClientID);
extern PSERVER_SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

extern
char* PsGetProcessImageFileName(PEPROCESS EProcess);

typedef
NTSTATUS(*pfnNtOpenProcess)(
	_Out_    PHANDLE            ProcessHandle,
	_In_     ACCESS_MASK        DesiredAccess,
	_In_     POBJECT_ATTRIBUTES ObjectAttributes,
	_In_opt_ PCLIENT_ID         ClientID);
//以上为SSDTHook32.h的头文件

//其实原理非常简单 就是获取SSDT地址 然后更改目标函数地址(因为32位下SSDT存入的是函数的直接地址)

//获取SSDT方法在代码批注里有所说明

//如何得到目标函数的索引 可以从Ntdll中查找相关函数的调用 具体可以通过调试得到

//此例函数索引中为windbg7(32)中得到的

baidu_36226689
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtOpenProcess
weixin_34214500的博客
03-29 3807
一般在内核SSDT HOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 868
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2051
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 451
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
[驱动开发] 手写 r0 hookNtOpenProcess 为例
LYSM
11-09 1366
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
Hook NtOpenProcess
07-21
Hook NtOpenProcess技术详解》 在计算机编程领域,Hook技术是一种强大的工具,它允许开发者拦截和修改系统调用,以实现特定的功能或监控系统行为。本篇文章将深入探讨"Hook NtOpenProcess"这一特定的技术,以及其...
HOOK NtOpenProcess 保护指定进程
05-15
在Windows中,`NtOpenProcess`的地址位于SSDT中,因此`HookSSDT`项目很可能会修改SSDT,将`NtOpenProcess`的原始入口点替换为我们的钩子函数,然后在钩子函数内部再跳转到原始入口点。 总的来说,`HOOK ...
精选_SSDT Hook 之内核函数ZwOpenProcess实现监控打开进程_源码打包
03-11
SSDT(System Service Dispatch Table,系统服务调度表)是Windows操作系统内核中一个至关重要的组件,它负责将用户模式下的系统调用转换为相应的内核模式处理函数。在这个主题中,“SSDT Hook 之内核函数...
可以过掉HOOK NtOpenProcess
01-24
可以过掉HOOK NtOpenProcess 交流学习使用
对运行中的进程保护
onlyfunboy的专栏
12-05 530
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会例如OD与CE无法进行如以下操作: (1)无法附加进程, (2)无法打开进程, (3)游戏进程被隐藏无法在工具中查看到, (4)内存无法读取代码 (5)内存修改后游戏掉线 (6)无法双机进行调试 (7)出现SX非法模块提示 `例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些: NtOpe...
C语言进程隐藏NTOpenprocess,抛砖引玉,谈谈VB下的隐藏进程检测
weixin_31684041的博客
05-23 301
PAGE:0049D59E;NTSTATUS__stdcallNtOpenProcess(PHANDLEProcessHandle,ACCESS_MASKDesiredAccess,POBJECT_ATTRIBUTESObjectAttributes,PCLIENT_IDClientId)PAGE:0049D59EpublicNtOpenPro...
HOOK ntopenprocess
qq_41071646的博客
01-06 1011
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86ssdt 好像是固定的   但是 ...
梦无极_ssdt_hook_190_保护记事本_可用_
12-29 710
#include "ntddk.h" #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase; //仅适用于checked build版本 unsigned int NumberOfService...
通过windbg 得到我们要 hook 的api 地址的方法以及 hook NtOpenProcess 的例子。。。
xum2008的专栏
01-29 2830
今天,突然想对 hook 进行一些学习,因为对于一些底层的操作,都是在于ANTI-HOOK 。。。然后才能得到最后的使用权,为此,自己也要掌握这种很强大的编程手法,那么首先,我们应该知道的一些是,在 win2000 以后,对于 SSDT 的操作,系统都是写了保护的,那么我们首先应该做的是怎么样来解除掉它们,替换我们的执行地址,当然在这里,我们必须要知道这个结构:typedef stru
11、OpenProcess
Windows内核学习笔记
07-18 280
neg指令 neg指令详细解释 规则: neg reg (对寄存器操作) neg mem(对内存操作) 作用:将目的操作数的所有数据位取反加1 影响的标志:进位标志(CF),零标志(ZF),符合标志(SF),溢出标志(OF),辅助进位标志(AF),奇偶标志(PF) 当操作数为0时,置CF位为0 当操作数不为0时,置CF位为1 sbb指令 sbb是带借位减法指令,它利用了CF位上记录的借位值。 指令格式:sbb 操作对象1,操作对象2 功能:操作对象1=操作对象1-操作对象2-CF 比如指令sbb ax,b
windows下如何用汇编给ntopenprocess传递参数
最新发布
07-15
在 Windows 平台上,使用汇编语言给 `NtOpenProcess` 函数传递参数需要了解 x64 调用约定以及函数参数的传递方式。 在 x64 架构下,Windows 使用 Microsoft x64 调用约定来传递参数。前四个整型参数(整数、指针等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值