SSDT HOOK,通过hook NtOpenProcess达到保护制定进程效果

最新推荐文章于 2021-05-23 08:42:43 发布
最新推荐文章于 2021-05-23 08:42:43 发布
阅读量855 收藏 1
点赞数
分类专栏: 内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangai93/article/details/29020509
版权

  SSDT hook技术是一种很老的技术了,但是作为新手还是有必要知道和学习的。首先说一下 KeServiceDescriptorTable ,通过WRK可以找到该函数的原型

   typedef struct _KSERVICE_TABLE_DESCRIPTOR {
    PULONG_PTR Base; 
    PULONG Count;
    ULONG Limit;
    PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR; 

 

该函数为导出,首先要到处该函数,才能使用

废话不多说了,贴出自己写的代码 (vs2010+WDK)

//SSDT.h

typedef struct _KSERVICE_TABLE_DESCRIPTOR {
PULONG_PTR Base;
PULONG Count;
ULONG Limit;
PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR; //申明KeServiceDescriptorTable结构,通过wrk查找
extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;//导出该函数

//获取SSDT的基地址
ULONG GetSSDTAddr(int _index)
{
return KeServiceDescriptorTable->Base[_index];
}

//暴力去除页面保护,如果不去除无法修改
void off()
{
__asm 

cli 
mov     eax, cr0 
and     eax, not 10000h 
mov     cr0, eax 

};

//恢复页面保护,否则会蓝屏
void on()
{
__asm 

mov     eax, cr0 
or     eax, 10000h 
mov     cr0, eax 
sti 

};


typedef NTSTATUS (__stdcall *NewNtOpenProcess)
(
__out PHANDLE ProcessHandle,
__in ACCESS_MASK DesiredAccess,
__in POBJECT_ATTRIBUTES ObjectAttributes,
__in_opt PCLIENT_ID ClientId
);
extern "C" NTSTATUS
PsLookupProcessByProcessId(
__in HANDLE ProcessId,
__deref_out PEPROCESS *Process
);
extern "C" UCHAR *
PsGetProcessImageFileName(
__in PEPROCESS Process
);

//全局变量,用于存放原始地址
ULONG oldaddr;
NewNtOpenProcess _NewNtOpenProcess;
 //自己的HOOK函数
NTSTATUS MyNtOpenProcess(
__out PHANDLE ProcessHandle,
__in ACCESS_MASK DesiredAccess,
__in POBJECT_ATTRIBUTES ObjectAttributes,
__in_opt PCLIENT_ID ClientId

{
NTSTATUS _ntstatus;
PEPROCESS _eprocess;
_ntstatus=_NewNtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
if (NT_SUCCESS(_ntstatus))
{

                       //通过PsLookupProcessByProcessId遍历出所有进程ID,并存放在_eprocess
_ntstatus=PsLookupProcessByProcessId(ClientId->UniqueProcess,&_eprocess);
if (NT_SUCCESS(_ntstatus))
{

                              //获取所有的进程名称
CHAR *ProcessN=(CHAR*)PsGetProcessImageFileName(_eprocess);

                                //判断所有进程名称内存地址是否有效
if (MmIsAddressValid(ProcessN)==TRUE)
{
/*DbgPrint("%s",ProcessN)*/;

                                  //通过与字符串比较获取进程中是否有相同的进程名称
if (strcmp(ProcessN,"calc.exe")==0)
{
               //如果存在就返回无权操作
_ntstatus=STATUS_ACCESS_DENIED;

}
}
}

                     
ObDereferenceObject(_eprocess);
}
return _ntstatus;
}



//hook方法
void SSDTHOOKNtOpenProcess()
{

       //保存旧的地址
oldaddr=GetSSDTAddr(122);
_NewNtOpenProcess=(NewNtOpenProcess)oldaddr;
off();

KeServiceDescriptorTable->Base[122]=(ULONG)MyNtOpenProcess;//
on();


}
void UnHook()
{
off();
KeServiceDescriptorTable->Base[122]=oldaddr;
on();
}

到这里基本完成了,测试也是通过的,如果想要源代码,请加QQ:361121687 有不对的地方请指正

下次说说保护文件吧,然后通过不同测试写一下内核的各种hook方法。

huangai93
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
WI10-进程保护驱动程序源代码,驱动程序保护为您的应用程序
HOOK SSDT NtOpenProcess 保护进程
收集学习过程中对自己有帮助的牛人文章
12-03 3114
感谢众大神分享的技术,因为几乎没参考别人的源码,所以就标题原创 但是因为这个技术肯定是前辈分搞出来的,所以就特意说明下,此乃转载耶 模板用的张帆大牛的 记录一下,以后备用
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 1986
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
NtOpenProcess
weixin_34214500的博客
03-29 3750
一般在内核SSDT HOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 836
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
ssdt hook,最简单的内核技术,多用于保护进程
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动层hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
ssdthook技术实现防止进程关闭
04-21
使用ssdthook技术实现进程防止关闭功能,包含完整代码,代码注释齐全。
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
可以过掉HOOK NtOpenProcess
01-24
可以过掉HOOK NtOpenProcess 交流学习使用
HOOK NtOpenProcess 保护指定进程
05-15
HOOK NtOpenProcess 保护指定进程
守护保护进程shell,防止进程杀死重启
10-10
服务端程序一般需要长期后台稳定运行,除了保证程序本身的健壮外,还需要用到一些守护程序,小小的shell文件,放在crontab里来保护我们所需要的进程
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 438
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
[驱动开发] 手写 r0 hookNtOpenProcess 为例)
LYSM
11-09 1294
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
对运行中的进程保护
onlyfunboy的专栏
12-05 495
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会例如OD与CE无法进行如以下操作: (1)无法附加进程, (2)无法打开进程, (3)游戏进程被隐藏无法在工具中查看到, (4)内存无法读取代码 (5)内存修改后游戏掉线 (6)无法双机进行调试 (7)出现SX非法模块提示 `例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些: NtOpe...
ssdkhookntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 866
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
HOOK ntopenprocess
qq_41071646的博客
01-06 989
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...
C语言进程隐藏NTOpenprocess,抛砖引玉,谈谈VB下的隐藏进程检测
weixin_31684041的博客
05-23 276
PAGE:0049D59E;NTSTATUS__stdcallNtOpenProcess(PHANDLEProcessHandle,ACCESS_MASKDesiredAccess,POBJECT_ATTRIBUTESObjectAttributes,PCLIENT_IDClientId)PAGE:0049D59EpublicNtOpenPro...
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt hook ssdt的示例代码: ```c #include <ntddk.h> ULONG_PTR OriginalServiceAddress = 0; NTSTATUS HookServiceCall(IN PUNICODE_STRING ServiceName, IN ULONG_PTR NewServiceAddress) { NTSTATUS status = STATUS_SUCCESS; ULONG_PTR serviceAddress = 0; // 获取系统服务地址 status = ZwQuerySystemInformation(SystemModuleInformation, NULL, 0, &serviceAddress); if (status != STATUS_INFO_LENGTH_MISMATCH) { return status; } // 遍历系统服务表 PSYSTEM_MODULE_INFORMATION pModuleInfo = (PSYSTEM_MODULE_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, serviceAddress, 'hook'); if (pModuleInfo == NULL) { return STATUS_INSUFFICIENT_RESOURCES; } status = ZwQuerySystemInformation(SystemModuleInformation, pModuleInfo, serviceAddress, NULL); if (!NT_SUCCESS(status)) { ExFreePoolWithTag(pModuleInfo, 'hook'); return status; } for (ULONG i = 0; i < pModuleInfo->NumberOfModules; i++) { PRTL_PROCESS_MODULES pModule = &pModuleInfo->Modules[i]; // 找到ntoskrnl.exe模块 if (wcsstr(pModule->FullPathName, L"ntoskrnl.exe") != NULL) { // 计算SSDT地址 ULONG_PTR ssdtAddress = (ULONG_PTR)pModule->ImageBase + pModule->OffsetToFileName; // 保存原始的系统服务地址 OriginalServiceAddress = *(ULONG_PTR*)ssdtAddress; // 修改系统服务地址为新的地址 *(ULONG_PTR*)ssdtAddress = NewServiceAddress; break; } } ExFreePoolWithTag(pModuleInfo, 'hook'); return status; } NTSTATUS UnhookServiceCall() { if (OriginalServiceAddress != 0) { // 恢复原始的系统服务地址 *(ULONG_PTR*)ssdtAddress = OriginalServiceAddress; OriginalServiceAddress = 0; } return STATUS_SUCCESS; } ``` 以上代码是一个简单的Vt hook ssdt的示例,通过调用`HookServiceCall`函数可以将指定的系统服务地址替换为新的地址,通过调用`UnhookServiceCall`函数可以恢复原始的系统服务地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值