过TP驱动1(SSDT部分)

最新推荐文章于 2023-08-23 00:10:49 发布
最新推荐文章于 2023-08-23 00:10:49 发布
阅读量896 收藏 1
点赞数
分类专栏: 驱动 文章标签: hook byte include struct string 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoyi987/article/details/7292216
版权
本文介绍了如何在XP SP3下通过SSDT Hook技术,稳定地绕过NtReadVirtualMemory和NtWriteVirtualMemory的头部钩子,以及KiAttachProcess函数的钩子。同时,还涉及了对多处ObOpenObjectByPoint调用的挂钩方法。目前,DebugPort清零的部分仍在进行中。
摘要由CSDN通过智能技术生成 
#include <windef.h>
#include <stdio.h>
#include <string.h>



typedef struct _ServiceDescriptorTable {
	PVOID ServiceTableBase; 
	PVOID ServiceCounterTable;
	unsigned int NumberOfServices;
	PVOID ParamTableBase; 
}*PServiceDescriptorTable;  

extern "C" extern PServiceDescriptorTable KeServiceDescriptorTable;
extern "C" __declspec(dllimport) _stdcall KeAddSystemServiceTable(PVOID, PVOID, PVOID, PVOID, PVOID);


bool Hook_flag=false;


LONG * ssdt_No122;//NtOpenProcess
LONG * ssdt_No128;//NtOpenThread
LONG * ssdt_No186;//NtReadVirtualMemory
LONG * ssdt_No277;//NtWriteVirtualMemory

LONG * ObOpenObjectByPointerAddr;
LONG * KeAttachProcessAddr;
LONG * KiAttachProcessAddr;

DWORD ssdtReadReal;
DWORD readPush1;
DWORD readJump1;

DWORD ssdtWriteReal;
DWORD writePush1;
DWORD writeJump1;



VOID NtOpenProcessInlineResume();
VOID NtOpenThreadInlineResume();

VOID NtReadVirtualMemory()
最低0.47元/天 解锁文章
nu2987
关注
专栏目录
tp驱动.zip_TP_TP保护_tp驱动_过TP保护_过tp
07-13
TP驱动保护,其他地方找来的,可以参考一下
高通平台tp驱动(一)
weixin_43453149的博客
11-26 1025
gsl680驱动解析(一)
TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
TP驱动3(清零部分)
guoyi987的专栏
03-17 1201
windbg下 ,断点 ba w1 EProcess+BC,能找到2-4处清零的代码,但是不能直接恢复或者hook代码段,   要先干掉CRC,否则会被重启电脑。ba e1 清零代码,能找到1-2处CRC校验。   CRC干掉了,清零就可以处理了。
逆向随笔——对可以过TP的注入驱动的一次逆向
Lixinist的博客
10-21 2399
前言: 逆一些东西,有点收获,就写篇随笔记录一下。因为写的随便,就不发看雪了。 今天一个朋友给我发了一个说是可以过TP的注入驱动,希望我逆一下看看是什么套路。 正文: 接收过来压缩包,看了一下 loadddll32和64分别是用在32和64的驱动,MemOpe和dnf.exe都是测试用例(不过我是用自己写的123.exe进行测试)。 先跑起来,看看线程和模块上有没有什么特别的地方 有一个线程P...
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
1. 获取SSDT表:驱动程序首先需要获取当前系统中的SSDT表,这可能涉及到内核编程和内存读取。 2. 备份原始入口点:在对SSDT进行修改之前,通常需要保存原始的服务例程地址,以备恢复。 3. 设置钩子:将自定义的函数...
易语言源码易语言恢复SSDT驱动源码.rar
03-31
易语言恢复SSDT驱动源码可能包括以下几个关键部分: 1. SSDT结构分析:源码首先需要理解SSDT的结构,包括如何查找SSDT地址、如何获取服务表项等。 2. SSDT备份:在恢复之前,需要先备份当前的SSDT,以防万一恢复...
易语言恢复SSDT驱动
07-21
易语言恢复SSDT驱动源码,恢复SSDT驱动,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,Get_KeServiceDescriptorTable_Address,ReadIntByAddr,读内存,写内存,取变量地址,DbgPrint,...
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
(16)[系统调用]追踪系统调用(3环)
qq_50332504的博客
07-24 737
简单地进行WriteProcessMemory进行追踪,看看这个函数到底是怎么样运作的,结果真是......
TP驱动保护
01-19
TP驱动 只能简单CE搜索不能扫描 只供学习
过腾讯TP驱动保护教程
10-07
最新的,主要讲了如何分析TP各种HOOK和写驱动代码去过掉TP所有HOOK,自己下了看吧
TenProtect(TP)_驱动保护原理.pdf
11-06
TenProtect(TP)_驱动保护原理.pdf
全局过TP驱动保护检测
11-29
全局过TP驱动保护检测 过TX保护
WIN7X64过TP驱动源码
11-24
可以过简单的TP游戏,自己放弃的一个版本,具体可以过那些需要自己去测试
简单介绍 反调试
Misaka10046的博客
04-04 573
DebugPort KdDisableDebugger 禁用内核调试 IsDebuggerPresent/CheckRemoteDebuggerPresent Hook HOOK一些与调试相关的函数 NtOpenThread:防止调试器在程序内部创建线程 NtOpenProcess:防止OD等调试工具在进程列表中看到 KIAttachProcess:防止被附加上 NtReadVirtualMemory:防止被读内存 NtWriteVirtualMemory:防止内存被写 KdReceivePacket:K
句柄与跨进程读写
qq_18811919的博客
05-19 566
跨进程读写内存#### 跨进程的本质 跨进程的本质是进程挂靠正常情况下,A的进程的线程只能访问A进程 的地址空间,如果A进程的线程想要访问B进程的地址空间,就要修改当前 Cr3的值为B进程页目录表基值(KPROCESS.DirectoryTableBase). 即:mov cr3,B.DirectoryTableBase NtReadVirtualMemory API 流程解析: 1.切换Cr3 2.将数据读复制到高2G 3.切换Cr3 4.从高2G复制到目标位置 该API功能是读取进程内存,原理是将目标
Hook免杀实战: 去除杀软的三环钩子
最新发布
xf555er的博客
08-23 1002
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能许多杀毒软件使用钩子(hook)技术来监视系统的API函数调用,并检测潜在的恶意代码行为。
Windows内核新手上路1——挂钩SSDT
gimbow的专栏
09-13 2067
Windows内核新手上路1——挂钩SSDT         这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。         文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间。SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表把ring3的Win32 AP
Windows TP Hook分析:NtOpenProcess实战解析
1. **特征码搜索**:使用`SearchFeature`函数来搜索特定的特征码,这有助于找到被TP hook的那部分代码。 2. **内联HOOK**:利用`InLineHookEngine`函数进行内联HOOK,即将原本的函数指令替换为跳转到TP hook后的下一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值