一个禁止任何ring3调试的驱动

最新推荐文章于 2021-10-20 13:40:47 发布
最新推荐文章于 2021-10-20 13:40:47 发布
阅读量3.6k 收藏 3
点赞数 1
分类专栏: 逆向 调试 文章标签: hook struct object include string xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/better0332/article/details/6698110
版权
本文介绍了一个旨在防止Ring3级别调试的驱动程序,适用于多核和多系统环境。内容涉及hook技术、结构体操作、对象管理及字符串处理等关键点。
摘要由CSDN通过智能技术生成 
#include <ntddk.h>

#define MAKELONG(low, high) \
((ULONG)(((USHORT)((ULONG)(low) & 0xffff)) | ((ULONG)((USHORT)((ULONG)(high) & 0xffff))) << 16))

#define GET_LOW16_OF_32(data) \
((USHORT)(((ULONG)data) & 0xffff))

#define GET_HIGH16_OF_32(data) \
((USHORT)(((ULONG)data) >> 16))

#pragma pack(push,1)
typedef struct IDTR_
{
  USHORT limit;
  ULONG base;
} IDTR, *P_IDTR;

typedef struct IDTENTRY_
{
  USHORT offset_low;
  USHORT selector;
  UCHAR reserved;
  UCHAR type:4;
  UCHAR always0:1;
  UCHAR dpl:2;
  UCHAR present:1;
  USHORT offset_high;
} IDTENTRY, *P_IDTENTRY;
#pragma pack(pop)

ULONG Offset = 0;
ULONG HOOK_IDT_INDEX[] = {0x01, 0x03};
#define HOOK_IDT_NUM sizeof(HOOK_IDT_INDEX)/sizeof(ULONG)
VOID *g_old_entry[HOOK_IDT_NUM] = {0};

VOID *GetIdt()
{
  IDTR idtr;
  _asm sidt idtr
  return (VOID *)idtr.base;
}

VOID MyUserFilter()
{
  KdPrint(("Crurrent IRQL: %d\n",KeGetCurrentIrql()));
  if (Offset &
最低0.47元/天 解锁文章
better0332
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4225
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动一个比较全面的认识 。 一个简单的驱动一般有以下几
RING 3 无驱动进入RING 0
06-03 1047
作 者: hljleo时 间: 2008-06-02,18:52链 接: http://bbs.pediy.com/showthread.php?t=65906可能这些已经没有什么,但对俺菜鸟来说学习一下应该还可以的。MY BLOG:http://hi.baidu.com/hljleoMY QQ:554920269下面就是RING 3 无驱动怎么进入RING 0的知识要点1 通过工作区//Devi
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 854
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
RING3下 内存清零法 杀进程
残酷な天使
05-14 2785
这一篇写的比较详细,适合我这样的菜鸟看 ================================================================================================== 转自:http://hi.baidu.com/pingsuper/blog/item/3c9ebd3c84ac20cc7d1e7104.html 在一般任务管理器无法关闭进程时用到 内存清零法 杀进程 原理分析 1.先打开CSRSS.EXE系统进程,获得其句柄,几
【转】枚举进程:ring3->ring0
依然静谧的专栏
08-15 1019
用google搜索了几天相关内容的资料,将所提到的逐一实现。哎,不禁感叹自己太菜了。居然用了几天的时间。没啥新思想、内容,只是总结,当然还有其他方法没总结到。但经常提到的ring3下的快照、psapi的EnumProcesses、暴力OpenProcess;ring0下的ZwQuerySystemInformation、activprocess链、暴力搜索内存、PspCidTable、Csrss进
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
热门推荐
sunflover454的专栏
12-31 2万+
工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
delphi驱动开发.docx
02-13
- **权限级别**:Intel x86处理器有4个Ring,Windows使用Ring0(内核模式)和Ring3(用户模式)。用户模式进程不能执行特权指令,访问受限。 - **权限切换**:用户模式进程通过系统调用来切换到内核模式执行,完成...
易语言驱动保护程.pdf
06-16
4. **Game-EC模块**:这是一个特定的模块,从6.7版本开始支持驱动保护,适用于XP SP3和Win7 32位系统。它提供了`驱动_保护内存()`这样的命令,用于实现内存保护功能。在使用任何驱动命令之前,必须先通过`驱动_加载...
任意用户模式下执行 ring 0 代码
06-27
在开发和调试阶段,可能需要在用户模式下执行 Ring 0 代码以测试驱动程序或内核模块。此时,可以使用调试工具,如 WinDbg(Windows)或 GDB(Linux),以及相应的内核调试技巧。 综上所述,"任意用户模式下执行 ...
拦截驱动加载
陈刚编程心得与知识集
01-24 1722
在做一个程序,hookzwloaddriver来拦截驱动加载,但是碰到个问题,这个函数的原型是:   NTSTATUS   ZwLoadDriver(   INPUNICODE_STRINGDriverServiceName   );   他只有一个参数,代表着驱动的服务名,我是通过读取注册表\Registry\Machine\System\CurrentControlSet\Servi
ring3到ring0的过渡----rootkit最基本驱动
Sorawa
03-05 496
这是一个比HelloDDK.sys更简单的例子,其实DDK_Unload都可以不要但是你将没法正常去停止这个内核服务,这个是否让人想起了某些恶意软件连停止内核服务失败的原因,另外还有个宏KdPrint(()),可以替代DbgPrint这个和HelloDDK比起来 功能单一多了,关于后SSDT HOOK,以后再在这个原型上增加功能VOID DDK_Unload( IN PDRIVER_OBJECT DriverObject ){ DbgPrint("Driver Unload");}N
Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码)
Jingle的专栏
07-11 2647
2009-08-16 13:41:30  www.hackbase.com  来源:YPN电脑技术支持工作室     Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码) 注入DLL是做全局钩子或者拦截类软件都有可能用到的技术,如果做外挂的话我们也有可能需要注入一个DLL到游戏进程中去干点什么“坏事”。 但我们知道现在 ...     Ring3下注入DLL的另类方法,能过杀软和游
Ring3下实现进程保护,不用hook
十年磨一剑,霜刃未曾试!
05-04 6948
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include #include #pragma comment(lib,"Advapi32.lib") BOOL Ring3ProtectProcess() { HANDLE hProcess = ::Get
2进制3位数过去现在将来输赢公式代码.txt
09-07
2进制3位数过去现在将来输赢公式代码
福州大学在广东2021-2024各专业最低录取分数及位次表.pdf
最新发布
09-07
全国各大学在广东2021-2024各专业最低录取分数及位次表
WordPress 集网址、资源、资讯于一体的导航类主题开心版
09-07
WordPress 集网址、资源、资讯于一体的导航类主题开心版; 运行环境 PHP7.4 + MYSQL5.6
【Java学习】activemq消息中间件学习demo.zip
09-07
【Java学习】activemq消息中间件学习demo.zip 【Java学习】activemq消息中间件学习demo.zip 【Java学习】activemq消息中间件学习demo.zip
爬取淘宝热销(热门)手机支架商品信息公开透明的数据集
09-07
本资源专注于收集淘宝热销(热门)手机支架商品信息,内容涵盖商品的店铺所在省份、城市位置、商品的名称、销售价格、累积销量、单价(以人民币计价)、付款的顾客人数、是否提供包邮服务、是否为天猫平台的商品,以及相关的满减优惠情况。这些详细的数据点均来源于淘宝平台的公开透明信息,经过精确抓取和整理,旨在为分析电商平台上的新品推荐策略和消费者购买行为提供实用数据。 这些数据严格遵循淘宝平台的公开政策和隐私保护原则获取,确保了信息的合法性与合规性。然而,本资源仅作为学习参考之用,意在帮助研究人员、市场分析师或学生等理解电商领域的商品推荐机制、销售动态及市场趋势。 任何将此数据用于商业目的或其他未授权的活动都是不恰当的,甚至可能触犯相关法律条款。 在使用这些数据进行学术研究或个人学习时,用户应自觉遵守相关法律法规,尊重数据来源和版权,正确引用数据源,并不得用于任何形式的商业盈利。 注意:这是一份数据集
内核驱动开发:RING3与RING0通信实战
调试驱动开发的重要环节,包括对蓝屏错误(dump文件)的分析和Ring3与Ring0的联合调试。掌握Windbg这样的调试工具对于定位问题至关重要。 为了成为一名熟练的内核驱动开发者,除了掌握C语言、数据结构、操作系统...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值