一个禁止任何ring3调试的驱动

最新推荐文章于 2021-10-20 13:40:47 发布
最新推荐文章于 2021-10-20 13:40:47 发布
阅读量3.7k 收藏 3
点赞数 1
分类专栏: 逆向 调试 文章标签: hook struct object include string xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/better0332/article/details/6698110
版权
本文介绍了一个旨在防止Ring3级别调试的驱动程序,适用于多核和多系统环境。内容涉及hook技术、结构体操作、对象管理及字符串处理等关键点。
摘要由CSDN通过智能技术生成 
#include <ntddk.h>

#define MAKELONG(low, high) \
((ULONG)(((USHORT)((ULONG)(low) & 0xffff)) | ((ULONG)((USHORT)((ULONG)(high) & 0xffff))) << 16))

#define GET_LOW16_OF_32(data) \
((USHORT)(((ULONG)data) & 0xffff))

#define GET_HIGH16_OF_32(data) \
((USHORT)(((ULONG)data) >> 16))

#pragma pack(push,1)
typedef struct IDTR_
{
  USHORT limit;
  ULONG base;
} IDTR, *P_IDTR;

typedef struct IDTENTRY_
{
  USHORT offset_low;
  USHORT selector;
  UCHAR reserved;
  UCHAR type:4;
  UCHAR always0:1;
  UCHAR dpl:2;
  UCHAR present:1;
  USHORT offset_high;
} IDTENTRY, *P_IDTENTRY;
#pragma pack(pop)

ULONG Offset = 0;
ULONG HOOK_IDT_INDEX[] = {0x01, 0x03};
#define HOOK_IDT_NUM sizeof(HOOK_IDT_INDEX)/sizeof(ULONG)
VOID *g_old_entry[HOOK_IDT_NUM] = {0};

VOID *GetIdt()
{
  IDTR idtr;
  _asm sidt idtr
  return (VOID *)idtr.base;
}

VOID MyUserFilter()
{
  KdPrint(("Crurrent IRQL: %d\n",KeGetCurrentIrql()));
  if (Offset &
最低0.47元/天 解锁文章
better0332
关注
专栏目录
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4326
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动一个比较全面的认识 。 一个简单的驱动一般有以下几
RING 3 无驱动进入RING 0
06-03 1059
作 者: hljleo时 间: 2008-06-02,18:52链 接: http://bbs.pediy.com/showthread.php?t=65906可能这些已经没有什么,但对俺菜鸟来说学习一下应该还可以的。MY BLOG:http://hi.baidu.com/hljleoMY QQ:554920269下面就是RING 3 无驱动怎么进入RING 0的知识要点1 通过工作区//Devi
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 894
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
RING3下 内存清零法 杀进程
残酷な天使
05-14 2803
这一篇写的比较详细,适合我这样的菜鸟看 ================================================================================================== 转自:http://hi.baidu.com/pingsuper/blog/item/3c9ebd3c84ac20cc7d1e7104.html 在一般任务管理器无法关闭进程时用到 内存清零法 杀进程 原理分析 1.先打开CSRSS.EXE系统进程,获得其句柄,几
【转】枚举进程:ring3->ring0
依然静谧的专栏
08-15 1042
用google搜索了几天相关内容的资料,将所提到的逐一实现。哎,不禁感叹自己太菜了。居然用了几天的时间。没啥新思想、内容,只是总结,当然还有其他方法没总结到。但经常提到的ring3下的快照、psapi的EnumProcesses、暴力OpenProcess;ring0下的ZwQuerySystemInformation、activprocess链、暴力搜索内存、PspCidTable、Csrss进
(开源) Ring3下的DLL注入工具 x86&x64(NtCreateThreadEx + LdrLoadDll方式实现,可以注入系统进程)
热门推荐
sunflover454的专栏
12-31 2万+
工具介绍及使用请移步:http://blog.csdn.net/sunflover454/article/details/50441014 本文首发在零日安全论坛:http://www.jmpoep.com/thread-833-1-1.html 使用NtCreateThreadEx + LdrLoadDll方式实现远程线程注入的特色在于比一般的远程线程注入稳定,可以注入系统进程,服务
麦洛克菲内核开发:RING3与RING0的区别与驱动框架详解
本文档主要讨论了RING3与RING0在内核驱动开发中的区别,针对的是麦洛克菲内核开发课程的一部分。RING3和RING0是Windows内核模式的两个安全级别,RING3(Ring 3)也称为用户模式,是常规应用程序执行的级别,而RING0...
delphi驱动开发.docx
02-13
- **权限级别**:Intel x86处理器有4个Ring,Windows使用Ring0(内核模式)和Ring3(用户模式)。用户模式进程不能执行特权指令,访问受限。 - **权限切换**:用户模式进程通过系统调用来切换到内核模式执行,完成...
易语言驱动保护程.pdf
06-16
4. **Game-EC模块**:这是一个特定的模块,从6.7版本开始支持驱动保护,适用于XP SP3和Win7 32位系统。它提供了`驱动_保护内存()`这样的命令,用于实现内存保护功能。在使用任何驱动命令之前,必须先通过`驱动_加载...
拦截驱动加载
陈刚编程心得与知识集
01-24 1740
在做一个程序,hookzwloaddriver来拦截驱动加载,但是碰到个问题,这个函数的原型是:   NTSTATUS   ZwLoadDriver(   INPUNICODE_STRINGDriverServiceName   );   他只有一个参数,代表着驱动的服务名,我是通过读取注册表\Registry\Machine\System\CurrentControlSet\Servi
ring3到ring0的过渡----rootkit最基本驱动
Sorawa
03-05 512
这是一个比HelloDDK.sys更简单的例子,其实DDK_Unload都可以不要但是你将没法正常去停止这个内核服务,这个是否让人想起了某些恶意软件连停止内核服务失败的原因,另外还有个宏KdPrint(()),可以替代DbgPrint这个和HelloDDK比起来 功能单一多了,关于后SSDT HOOK,以后再在这个原型上增加功能VOID DDK_Unload( IN PDRIVER_OBJECT DriverObject ){ DbgPrint("Driver Unload");}N
Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码)
Jingle的专栏
07-11 2671
2009-08-16 13:41:30  www.hackbase.com  来源:YPN电脑技术支持工作室     Ring3下注入DLL的另类方法,能过杀软和游戏NP(源码) 注入DLL是做全局钩子或者拦截类软件都有可能用到的技术,如果做外挂的话我们也有可能需要注入一个DLL到游戏进程中去干点什么“坏事”。 但我们知道现在 ...     Ring3下注入DLL的另类方法,能过杀软和游
Ring3下实现进程保护,不用hook
十年磨一剑,霜刃未曾试!
05-04 6971
今天在分析一款木马的时候,发现做了进程保护,没加驱动,也没做hook,能做进程保护,感觉非常奇怪,原来是这么一回事,mark一下吧! #include "stdafx.h" #include #include #pragma comment(lib,"Advapi32.lib") BOOL Ring3ProtectProcess() { HANDLE hProcess = ::Get
为Matlab 用户提供丰富功能的工具集
11-03
Matlab 用户提供丰富功能的工具集。 从优点来看,其涵盖了诸多实用的功能模块。例如在计算机视觉和图像处理领域,可能包含了图像特征提取、目标检测、图像分割等常用算法的实现,这为相关领域的研究人员和开发者节省了大量的时间和精力,无需从头编写复杂的算法代码,提高了开发效率。工具包的文档相对较为详细,能够帮助用户快速上手并理解各个函数和工具的使用方法,降低了使用门槛。同时,它可能具有较好的兼容性,能够与 Matlab 的原生功能和其他常用工具箱协同工作,方便用户整合到自己的项目中。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
技术资料分享KXTE9-2050 Specifications Rev 3非常好的技术资料.zip
11-03
技术资料分享KXTE9-2050 Specifications Rev 3非常好的技术资料.zip
yolo算法-废物数据集-1000张图像带标签-金属废料-杯子-垃圾桶-废物-纸张-塑料-瓶-有机废物.zip
11-03
yolo系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,包含数据集配置文件data.yaml,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值
VB程序实例-使用Stream读写存储的图像.zip
11-03
VB程序实例-使用Stream读写存储的图像.zip
VB程序实例78_系统操作_锁定计算机.zip
11-03
VB程序实例,可供参考学习使用,希望对你有所帮助
pytz-2016.7-py2.6.egg
最新发布
11-03
pytz库的主要功能 时区转换:pytz库允许用户将时间从一个时区转换到另一个时区,这对于处理跨国业务或需要处理多地时间的数据分析尤为重要。 历史时区数据支持:pytz库不仅提供了当前的时区数据,还包含了历史上不同时期的时区信息,这使得它在处理历史数据时具有无与伦比的优势。 夏令时处理:pytz库能够自动处理夏令时的变化,当获取某个时区的时间时,它会自动考虑是否处于夏令时期间。 与datetime模块集成:pytz库可以与Python标准库中的datetime模块一起使用,以确保在涉及不同时区的场景中时间的准确性。
内核驱动开发:RING3与RING0通信实战
调试驱动开发的重要环节,包括对蓝屏错误(dump文件)的分析和Ring3与Ring0的联合调试。掌握Windbg这样的调试工具对于定位问题至关重要。 为了成为一名熟练的内核驱动开发者,除了掌握C语言、数据结构、操作系统...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值