写一个SSDTShadow Hook

最新推荐文章于 2019-06-01 20:35:13 发布
最新推荐文章于 2019-06-01 20:35:13 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 驱动学习

http://hi.baidu.com/ejoywx/item/b9149cf75d1f7f1ce2e3bdf4

 

我本菜鸟,班门弄斧之辈,大牛不要笑话。

以下程序名称为BugHook,是在Win7sp1X64上对SSDTShadow::NtUserFindWindowEx进行Hook:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
#include "BugHook.h"
   
#pragma intrinsic(__readcr0)
#pragma intrinsic(__writecr0)
#pragma intrinsic(_disable)
#pragma intrinsic(_enable)
#pragma intrinsic(__readmsr)
   
extern  PUSHORT  NtBuildNumber;
static  PFN_NTUSERFINDWINDOWEX g_NtUserFindWindowEx;
   
KIRQL FORCEINLINE WPOFF( )
{
     KIRQL    Irql = KeRaiseIrqlToDpcLevel();
     UINT_PTR  cr0  = __readcr0();
       
     cr0 &= ~0x10000;
     __writecr0( cr0 );
     _disable();
   
     return  Irql;
}
   
VOID  FORCEINLINE WPON( KIRQL Irql )
{
     UINT_PTR  cr0 = __readcr0();
       
     cr0 |= 0x10000;
     _enable();  
     __writecr0( cr0 );
   
     KeLowerIrql( Irql );
}
   
PVOID  SearchHookPoint(  PVOID  StartPoint,  PUCHAR   EndPoint )
{
     PVOID    HookPoint= NULL;
     PUCHAR   pCurPoint = ( PUCHAR )StartPoint;
       
     __try
     {
         while ( ++pCurPoint < ( PUCHAR )EndPoint ) 
         {   
             if ( ( ( ULONG_PTR )pCurPoint %  sizeof ( PVOID ) ) == 0 && //考虑地址对齐
                 *( PULONG_PTR )(pCurPoint+0) == 0 &&  //期望搜索到当前(.text)节的尾部
                 *( PULONG_PTR )(pCurPoint+1) == 0 &&
                 *( PULONG_PTR )(pCurPoint+2) == 0 && 
                 *( PULONG_PTR )(pCurPoint+3) == 0 
               )
             {
                 HookPoint = ( PVOID )pCurPoint;
                 break ;
             }
         }       
     }
     __except( EXCEPTION_EXECUTE_HANDLER )
     {
     }
       
     return  HookPoint;
}
   
VOID  PatchHookPoint(  PVOID  HookPos,  PVOID  FakeNtFunc ) //perfect! Infact, do not do that!
{
     KIRQL     Irql;
     UCHAR      jmp_code[] =  "\x48\xB8\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x00\xFF\xE0" ; //mov rax, xxx ; jmp rax
     *( PULONGLONG )( jmp_code + 2 ) = ( ULONGLONG )FakeNtFunc;
   
     Irql = WPOFF();        
     RtlFillMemory( HookPos, 16, 0xCC );
     RtlMoveMemory( HookPos, jmp_code, 12 );        
     WPON( Irql );
}
   
PEPROCESS LookupCsrssProcess( )
{    
     PEPROCESS   CsrssProcess = NULL;
     NTSTATUS    Status ;
     PEPROCESS   Process;
     ULONG        Index  ;
   
     for  ( Index = 8; Index < 0x1000; Index += 4 )
     {
         Status = PsLookupProcessByProcessId( ( HANDLE )Index, &Process );
         if  ( !NT_SUCCESS(Status) )
         {
             continue ;
         }
   
         if  ( !_stricmp( PsGetProcessImageFileName(Process),  "csrss.exe"  ) )
         {
             CsrssProcess = Process;
             Index = 0x20000;
         }
   
         ObDereferenceObject( Process );
     }
   
     return  CsrssProcess;
}
   
ULONG_PTR  GetSSDTShadow64( )
{
/*
                                         KiSystemServiceRepeat proc near
4C 8D 15 C7 20 23 00                    lea     r10, KeServiceDescriptorTable
4C 8D 1D 00 21 23 00                    lea     r11, KeServiceDescriptorTableShadow
F7 83 00 01 00 00 80 00 00 00           test    dword ptr [rbx+100h], 80h
*/
     PUCHAR       pStartSearchAddress   = ( PUCHAR )__readmsr(0xC0000082); //得到KiSystemCall64
     PUCHAR       pEndSearchAddress     = ( PUCHAR )( (( ULONG_PTR )pStartSearchAddress + PAGE_SIZE) & (~0x0FFF) );
     PULONG       pFindCodeAddress      = NULL;
     ULONG_PTR    pSSDTShadow = 0;
   
     while  ( ++pStartSearchAddress < pEndSearchAddress )
     {
         if  ( (*( PULONG )pStartSearchAddress & 0xFFFFFF00) == 0x83f70000 )
         {
             //-12得到KeServiceDescriptorTable;-5得到KeServiceDescriptorTableShadow
             pFindCodeAddress = ( PULONG )(pStartSearchAddress - 5);
             pSSDTShadow = ( ULONG_PTR )pFindCodeAddress +
                 ( ( (*( PULONG )pFindCodeAddress) >> 24 ) + 7 ) +  //ae
                     ( ULONG_PTR )( ( ( *( PULONG )(pFindCodeAddress + 1) ) & 0x0FFFF ) << 8 );  //id4c
             break ;
         }
     }
   
     return  pSSDTShadow;
}
   
ULONG      FORCEINLINE GetSSDTEntry(  PULONG  KiServiceTable,  PVOID  FuncAddress )
{
     return  ( ( ULONG )(( ULONGLONG )FuncAddress-( ULONGLONG )KiServiceTable) ) << 4;
}
   
ULONG_PTR  FORCEINLINE GetSSDTFunc(  PULONG  KiServiceTable,  ULONG  ServiceId )
{
     return  ( LONGLONG )( KiServiceTable[ServiceId] >> 4 ) 
             + ( ULONGLONG )KiServiceTable;
}
   
NTSTATUS LoadSSDTShadowHook( IN  ULONG  ServiceId, IN  PVOID  NewFunc, OUT  PVOID * OldFunc )
{
     PKSERVICE_TABLE_DESCRIPTOR SSDTShadow;
     NTSTATUS       Status = STATUS_UNSUCCESSFUL;
       
     ULONG           SsdtEntry;
     PULONG          W32pServiceTable;
     PVOID           HookPoint;
       
     PEPROCESS      CsrssProcess;
     KAPC_STATE     ApcState;
     KIRQL          Irql;
     BOOLEAN         bNeedDetach = FALSE;
   
     do
     {     
         if ( ( LONG )ServiceId < 0x1000 )
         {
             break ;
         }
         ServiceId &= 0x0FFF;
           
         SSDTShadow = (PKSERVICE_TABLE_DESCRIPTOR)GetSSDTShadow64();
         if  ( !SSDTShadow )
         {
             break ;
         }
         W32pServiceTable = SSDTShadow[1].Base;
           
         CsrssProcess = LookupCsrssProcess( );
         if ( !CsrssProcess )
         {
             break ;
         }
           
         if ( PsGetCurrentProcess() != CsrssProcess )
         {
             KeStackAttachProcess( CsrssProcess, &ApcState );
             bNeedDetach = TRUE;
        
           
         HookPoint = SearchHookPoint( ( PVOID )W32pServiceTable, ( PUCHAR )W32pServiceTable + 0x4000000 );
         if  ( !HookPoint )
         {
             break ;
         }        
   
         if  ( OldFunc )
         {
             *OldFunc = ( PVOID )GetSSDTFunc( W32pServiceTable, ServiceId );            
             PatchHookPoint( HookPoint, NewFunc );
               
             SsdtEntry = GetSSDTEntry( W32pServiceTable, HookPoint );
             SsdtEntry &= 0xFFFFFFF0; //perfect!!!
             SsdtEntry += W32pServiceTable[ServiceId] & 0x0F;
         }
         else
         {
             SsdtEntry = GetSSDTEntry( W32pServiceTable, NewFunc );            
             SsdtEntry &= 0xFFFFFFF0;
             SsdtEntry += W32pServiceTable[ServiceId] & 0x0F;
         }        
           
         Irql = WPOFF();
         W32pServiceTable[ServiceId] = SsdtEntry;   
         WPON( Irql );     
           
         Status = STATUS_SUCCESS;
   
     while  ( FALSE );
       
     if ( bNeedDetach )
     {
         KeUnstackDetachProcess( &ApcState ); 
     }
       
     return  Status;
}
   
NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath )
{
     NTSTATUS Status = STATUS_NOT_SUPPORTED;   
       
     if ( *NtBuildNumber == 7601 &&  sizeof ( PVOID ) == 8  )
     {
         DriverObject->DriverUnload = BugHookUnload;
         Status = LoadSSDTShadowHook( 0x106E, ( PVOID )ProxyNtUserFindWindowEx, ( PVOID *)&g_NtUserFindWindowEx );
     }
       
     KdPrintEx(( DPFLTR_IHVDRIVER_ID,DPFLTR_ERROR_LEVEL,  "[BugHook] DriverEntry is called with Status 0x%08X \n" , Status ));   
     return  Status;
}
   
VOID  BugHookUnload( IN PDRIVER_OBJECT DriverObject )
{
     LoadSSDTShadowHook( 0x106E, ( PVOID )g_NtUserFindWindowEx, NULL );
     KdPrintEx(( DPFLTR_IHVDRIVER_ID,DPFLTR_ERROR_LEVEL,  "[BugHook] BugHookUnload is called.\n" ));
}
   
HWND  NTAPI
ProxyNtUserFindWindowEx(
     IN  HWND  hwndParent,
     IN  HWND  hwndChild,
     IN PUNICODE_STRING pstrClassName,
     IN PUNICODE_STRING pstrWindowName,
     DWORD  dwType
     )                   
{
     if ( ExGetPreviousMode() == UserMode )
     {        
         UNICODE_STRING     CapturedClassName  = {0};
         UNICODE_STRING     CapturedWindowName = {0};
         WCHAR               NameBuffer[260]    = {0};
         WCHAR *             pNameBuf = NameBuffer;
   
         __try
         {
             if ( pstrClassName )
             {
                 ProbeAndReadUnicodeStringEx( &CapturedClassName, pstrClassName );
                 ProbeForRead(
                     CapturedClassName.Buffer,
                     CapturedClassName.Length,
                     sizeof ( WCHAR )
                     );
                   
                 RtlMoveMemory( pNameBuf, CapturedClassName.Buffer, CapturedClassName.Length ); //未判断缓冲区长度,巨大的安全隐患
                 pNameBuf += CapturedClassName.Length;
             }
               
             if ( pstrWindowName )
             {
                 ProbeAndReadUnicodeStringEx( &CapturedWindowName, pstrWindowName );
                 ProbeForRead(
                     CapturedWindowName.Buffer,
                     CapturedWindowName.Length,
                     sizeof ( WCHAR )
                     );
                   
                 RtlMoveMemory( pNameBuf, CapturedWindowName.Buffer, CapturedWindowName.Length ); //未判断缓冲区长度,巨大的安全隐患
                 pNameBuf += CapturedWindowName.Length;
             }
               
             if ( pNameBuf > NameBuffer ) 
             {
                 //
                 //Here, you can do something like analyzing NameBuffer.
                 //
                 KdPrintEx(( DPFLTR_IHVDRIVER_ID,DPFLTR_ERROR_LEVEL,  "[BugHook] NtUserFindWindowEx : %ws\n" , NameBuffer ));
            
         }
         __except( EXCEPTION_EXECUTE_HANDLER )
         {
             /* KdPrintEx(( DPFLTR_IHVDRIVER_ID,DPFLTR_ERROR_LEVEL, 
                         "[BugHook] Catch a bug with status : %08X\n", 
                             GetExceptionCode() ) ); */
         }
     }
       
     return  g_NtUserFindWindowEx( hwndParent, hwndChild, pstrClassName, pstrWindowName, dwType ) ;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
#ifndef __BUGHHOK_H__
#define __BUGHHOK_H__
   
# include  <ntifs.h>
# include  <ntimage.h>
   
DRIVER_UNLOAD     BugHookUnload;
DRIVER_INITIALIZE DriverEntry;
   
typedef HANDLE HWND;
typedef ULONG  DWORD;
   
typedef HWND ( NTAPI *PFN_NTUSERFINDWINDOWEX)(  \
                  HWND  hwndParent,              \
                  HWND  hwndChildAfter,          \
                  PUNICODE_STRING  ucClassName,  \
                  PUNICODE_STRING  ucWindowName, \
                  DWORD dwType                   \
                  ) ;
                    
HWND NTAPI
ProxyNtUserFindWindowEx(
     HWND  hwndParent,
     HWND  hwndChildAfter,
     PUNICODE_STRING  ucClassName,
     PUNICODE_STRING  ucWindowName,
     DWORD dwType
     ) ;
   
//---------------------------------------------------------------------------------------
//copy from wrk
typedef struct _KSERVICE_TABLE_DESCRIPTOR {
     PULONG Base;
     PULONG Count;
     ULONG  Limit;
     PUCHAR  Number ;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
    
NTKERNELAPI
UCHAR *
PsGetProcessImageFileName(
     __in PEPROCESS Process
     );
    
# if  !defined(__cplusplus)
   
#define ProbeAndReadUnicodeString(Source)  \
     (((Source) >= (UNICODE_STRING *  const )MM_USER_PROBE_ADDRESS) ? \
     (*(volatile UNICODE_STRING *  const )MM_USER_PROBE_ADDRESS) : (*(volatile UNICODE_STRING *)(Source)))
   
#endif
   
   
# if  defined(_AMD64_)
   
FORCEINLINE
VOID
ProbeAndReadUnicodeStringEx (
                              OUT PUNICODE_STRING Destination,
                              IN PUNICODE_STRING Source
                              )
   
{
   
     if  (Source >= (UNICODE_STRING *  const )MM_USER_PROBE_ADDRESS) {
         Source = (UNICODE_STRING *  const )MM_USER_PROBE_ADDRESS;
     }
   
     _ReadWriteBarrier();
     *Destination = *((volatile UNICODE_STRING *)Source);
     return ;
}
   
# else
   
#define ProbeAndReadUnicodeStringEx(Dst, Src) *(Dst) = ProbeAndReadUnicodeString(Src)
   
#endif
//---------------------------------------------------------------------------------------
   
#endif //__BUGHHOK_H__
ccx_john
关注
专栏目录
8.FindWindow(SSDT Shadow HOOK)
Mikasys的博客
11-05 917
待更。。
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3081
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
SSDT Shadow Hook
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 741
1.系统服务调度表SSDT及SSSDShadow 系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。 SSDT:系统服务调度表(System  Service  Dispatch Table),该表可以基于系统服务编号进行索引,来定位函数内存地址。 SSPT:系统服务参数表(System  Service
ShadowSSDT Hook
倒计时
12-26 3418
ShadowSSDT表的获取 这里的ShadowSSDT表的获取是通过函数KeAddSystemServiceTable来获取的。 使用这个函数的原因: 1、这个函数是已经导出的,可以在代码中直接使用。 2、这个函数里面使用了ShadowSSDT,包含了ShadowSSDT的地址。 可以使用WinDbg查看该函数代码,如下: kd> u KeAddSystemServiceTabl
ShadowSSDT hook
kernweak的博客
06-01 409
ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。 采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。 然后考虑下标:下标只能硬...
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 403
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServic...
ssdt.Recover.21yu3:绕过卡巴斯基主动防御,加载驱动,unhook所有ssdt hookshadow ssdt hook
05-06
ssdt.Recover.21yu3 ...然后DLL加载驱动,unhook所有ssdt hookshadow ssdt hook 威力非常大的一份代码,当年没有流出是非常明智的。 如今win10已经面世,希望能给后来人借鉴的价值。 我现在的blog:
SSDT表 hook 原理 教程源码
01-25
SSDT(System Service Dispatch Table,系统服务调度表)是Windows操作系统中的一个重要组件,它定义了系统服务函数的入口点。在驱动开发中,对SSDT进行hook是一种常见的技术手段,用于拦截并修改系统调用的行为,...
易语言Shadow ssdt HOOK恢复
05-19
在IT安全领域,"Shadow SSDT HOOK"是一个重要的概念,尤其在逆向工程和系统保护技术中扮演着关键角色。 SSDT(System Service Dispatch Table)是Windows操作系统中的一个核心组件,它存储了系统服务的入口点,这些...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
WINDOWS 过PG后可修改SSDT,实现SSDT hook,采用二次挑战方式实现
Shadow SSDT
crkres9527
09-28 457
 A、Shadow SSDT表基址定位    B、Shadow SSDT表结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符表 extern KeServiceDescriptorTableShadow //影子系统描述符表  win32k.sys bp win32k!NtUserPostMessage bp win32k...
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 712
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMes...
谈谈 通杀SSDT hookShadow SSDT hook的方法
cqyczj的专栏
04-25 1564
链 接: http://bbs.pediy.com/showthread.php?t=143987 有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从
Hook Shadow SSDT
lionzl的专栏
07-11 1217
網上很多文章都有關於SSDT的完整的實現,但是沒有關於Shadow SSDT的完整實現,目前最好的文章是《shadow ssdt學習筆記 by zhuwg》,我這裡的程式也很多參考了他的文章,在這裡謝謝了。我這裡給出一個hook shadow ssdt的完整實現的驅動和3層的代碼。 這裡主要是hook 了NtUserFindWindowEx,NtUserBuildHwndList,NtUse
Shadow Hook实现网络安全打印监控
ccx_john的专栏
10-16 1701
如何实现对打印的监控,微软提出的一种解决方案就是时刻检测放到打印队列中的打印任务,发现有任务出现,就从中筛选出来提供给调用者。对此功能的实现,微软的确公开了一套完整的代码,并且能够实现我们基本想要的功能,但是在实现功能之余,我又进行了更深一层的研究和测试,通过Hook win32k.sys内的打印相关的4个函数就完美地实现了打印监控功能。 我们先分析一下当系统完成一次打印任务需要调用的几个核心函
【转】SSDT&Shadow Hook的实现,完整代码。可编译
weixin_33805557的博客
11-29 152
原文连接:http://bbs.pediy.com/showthread.php?t=138747&amp;highlight=inline+hook 转自看雪,复制到自己博客上慢慢啃,呵呵   #include &lt;ntddk.h&gt; //辛苦了几周的成果 typedef struct ServiceDescriptorEntry { PVOID *Serv...
一个demo,hook
最新发布
05-25
以下是一个简单的 demo,演示了如何使用 Hook 来修改函数的行为,具体来说,这个 demo 实现了一个简单的加法器,但是在加法器计算结束后会输出一段字符串 "Hooked!",以示我们成功地使用了 Hook 修改了函数的行为。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值