终于完成了Ring3下挂钩ring0下的函数程序(目前支持xp)

最新推荐文章于 2021-04-26 19:19:57 发布
最新推荐文章于 2021-04-26 19:19:57 发布
阅读量3.3k 收藏 1
点赞数
文章标签: xp hook email 微软 qq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhui530/article/details/2210898
版权
经过一天的努力,成功实现了SSDT挂钩NtOpenProcess的功能。该实现仅支持Windows XP系统,通过SSDT(系统服务描述表)进行挂钩,为后续更复杂的inline hook和交互功能打下了基础。
摘要由CSDN通过智能技术生成

折腾了一天终于把这个程序搞定了,是蓝了我N次屏变换了N多种方法,终于稳定实现了。目前只是SSDT 挂钩了NtOpenProcess,其实可以挂钩任何ring0下函数(理论上,只是其中很多非常麻烦,会把人搞死的^_^) .今天就此打住,算是有所突破吧。下次准备下个复杂点的inline hook的再加交互~~(是不是太复杂了,做了就知道了^_^).

注意:
目前只支持xp,其实可以支持2k,和2003没sp补丁的,后面就被微软封了没办法了。如果想技术交流的可以加我QQ或者发送Email联系我,要代码的就免了,我不想这样的代码危害人间。

chenhui530
关注
6.ring0ring3通信
Mikasys的博客
10-27 556
0x6 ring0ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
Ring0 运行 Ring3 应用程序 初始版
Fly_Sky
10-13 1318
代码来源网络,初步修改代码后实现win7 x86 sys启动 notepad.exe 技术要点:1.获取 KeResumeThread和NtSuspendThread的地址 主要代码: /*************************************************************************************** * *
Ring3Ring0通信方法若干
03-10 2112
本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。               Ring3Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。          1 同步的策略          初写驱动的朋友都知道,通过Dev
揭秘Windows内核——如何利用自定义驱动程序Ring3Ring0的勾当!
LnTigerLn的专栏
05-30 4475
最近在做图像处理(其实是利用摄像机采回来的Image进行分析,从而得到目标的运动信息),既然是图像处理那就得有图像Source,没错那就是Camera,实验室的这个Camera还挺高级的,是千兆以太网接口的,呵呵,管他是什么接口——反正我们的任务就是将数据采集到指定的缓冲区内,然后再把缓冲区内的数据“显示出来”或者“分析分析”。按照常规的做法,你可能会这样申请一段缓冲区,估计编写过Windows程
[收藏] Ring0 Call Ring3
Purpleendurer@CSDN
03-13 3363
pjf(jfpan20000@sina.com)很久没写什么东西,一来文笔太烂,二来我不是一般的懒。这个东西一看题目也就知道又是一篇无聊的帖子,凑凑数先。因为最近决定把读本科时的古董机上的东西收拾一下,看到一些最初学习时的老代码,回忆往日的时光,还颇有一些感慨呢...以后有空就选一些贴贴,也不怕人笑了。今天第一帖,代码原是大二时为NT4系统写的,是原先实践x86体系写的,作用是在Driver中“调
易语言源码无驱动进入ring0易语言源码.rar
03-30
3. 内核函数挂钩:无驱动的情况下,程序可能使用钩子技术,挂接内核函数以达到进入Ring0的目的。这通常涉及到内存操作和函数指针替换。 4. 汇编语言:尽管易语言是一种高级语言,但在处理底层操作时,可能会使用...
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation)
05-27
ring3-kit 使用NT挂钩NtQuerySystemInformation)从任务管理器中隐藏进程。 一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏...
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
3. **SSDT Hook实现**:涉及在内核模式下找到并修改SSDT表项,替换原有服务的地址为自定义的钩子函数。钩子函数会在系统服务执行前被调用,可以在这里检查并决定是否允许系统服务继续执行。 **内核驱动程序**: 1. ...
Hook ShadowSSDT Ring3
11-28
Hook ShadowSSDT Ring3意味着在用户模式下进行系统服务的挂钩操作。通常,恶意软件会尝试在Ring3hook系统服务,以便在调用特定系统服务时执行自定义代码,达到监控、控制或干扰系统的目的。 **Hook技术** Hook是...
winio3.0+WinRing0_1_3_1a_驱动级端口访问
04-13
C++ Ring0级系统硬件和内存访问 访问硬件端口用来模拟按键什么都挡不住,模拟按键只是大材小用了 WinIO 和 Winring0 都非常强大 由于驱动的签名问题.WinIO在Win7 x64 上目前运行不能,也许我没找对方法 所以转而 Winring0。(注: Winring0 以前是开源项目,后来关闭.最后能找到的版本是1.3.1a) Winring0这个驱动有数字签名!!!能在64位WIN7下工作! WinIO 最新版本3.0 Winring0 最新版本 1.3.1a (只有二进制文件) Winring0 1.3.0 (源码+二进制文件+自带示例) 两个项目都有chm帮助文档(很简单的英语)
WinIo,直接访问硬件,ring0,驱动
03-01
WinIo,ring0级超级强大的驱动,直接访问硬件,端口读写。
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
[转]ring0调用ring3-apc
weixin_33940102的博客
08-30 170
最近一段时间都在解决ring0调用ring3函数的问题 因为想在驱动中间实现启动一个应用程序,这个应用程序有可能是exe也有可能是dll,但是在核心层没有像WinExec或者LoadLibrary这样的API可供我们调用,并且驱动程序和应用程序的地址空间不同,一个是在高地址空间,一个在低地址空间,如何才能实现ring0调用ring3函数呢,肯定是不能直接在驱动的地址空间中间执行,因为这些函数在...
Ring3Ring0之间的通信方式(Windows内核学习笔记)
KOOKNUT的博客
04-01 1330
我们写一个Ring0的代码,有时候需要和Ring3进行交互,比如我们做一个进程防杀的驱动保护,那我们可以通过Ring3的进程,发送请求告诉驱动层,究竟哪些进程属于白名单,哪些属于黑名单,而在通信过程中,涉及到了应用层与内核层之间通信的一些数据传输方法,我在这里简单做一个学习笔记: 如果一个驱动要和应用程序通信,首先需要生成一个设备对象(DeviceObject),设备对象可以通过某种方式在内核中暴...
ring0内存遍历。获取函数地址
02-12 1005
NTSTATUSNTAPIZwQuerySystemInformation(       ULONG SystemInformationClass,       PVOID SystemInformation,       ULONG SystemInformationLength,       PULONG ReturnLength       );查了很多资料,也没有对这个函数做过多的说明大多都是抄来抄去的~~现在也来总结下。。第一个参数是一个枚举类型,传入的是你需要查询的信息的类型,如果你要查询进程的
【2021.04.26】API函数的调用过程(Ring3Ring0):上
oalken的博客
04-26 670
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地址,这个函数地址存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
RING3RING0函数跟踪
weixin_33951761的博客
05-27 283
前两天面试,一位面试官老师提到了RING3RING0的跟踪,自己以前是windbg跟踪过一次,想着再用OD跟踪一下 就在当复习一下,当时答面试官哥哥进R0是哪个函数的时候,竟然想不起来,只知道说是Ki开头的那个函数,真是汗颜,不珍惜机会啊 好好记住吧 OD加载咱们的notepad 下断点到CreateFileW,迷惑于是CreateFileW还是CreateFileA可以用PEID看一下,...
浅谈NTRing3无驱进入Ring0的方法
ken的专栏
11-15 830
<br />浅谈NTRing3无驱进入Ring0的方法<br />关键字:NT,Ring0,无驱<br /> <br />(测试环境:Windows 2000 SP4,Windows XP SP2.<br />Windows 2003 未测试)<br /> <br />在NT下无驱进入Ring0是一个老生常谈的方法了,网上也有一些C代码的例子,我之所以用汇编重写是因为上次在<br />[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)<br />的帖子中自己没有实验成功(其实已经成功了
Windows下Ring0级SSDT Hook进程保护组件实现
"HOOK技术的Ring0级进程保护组件设计与实现" 本文主要探讨了一种基于SSDT(System Service Descriptor Table)HOOK技术的Ring0级进程保护组件的设计与实现,适用于Windows操作系统。该组件的主要目标是保护进程免受...
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值