Different ways to install kernel hooks under Windows NT based systems

最新推荐文章于 2022-07-15 14:40:37 发布
最新推荐文章于 2022-07-15 14:40:37 发布
阅读量1.7k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: windows service reference api manager module
1. Via installing a standard device driver
Calling the CreateService API with the service type parameter set to SERVICE_KERNEL_DRIVER makes the driver to be installed into the kernel. The Service Control Manager (SCM) then will tack care of starting and unloading the driver. This is the only documented way.

2. Using SystemLoadAndCallImage
The Native API NtSetSystemInformation is generally used to set information that affects the operation of the system. While the information class SystemLoadAndCallImage would load a module into the kernel address space and call its entry point. It is very simple but it's impossible to automatically start the driver on system boot. It seems that smss.exe use this method to load win32 subsystem during startup.
REF: Windows NT/2000 Native API Reference

3. Through the Windows object /Device/PhysicalMemory
This method has been explained in details by crazylord, but it is quite complicated and challenging and I have not mastered yet.
REF: Playing with Windows /dev/(k)mem, Phrack Inc, Volume 0x0b, Issue 0x3b
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtQuerySystemInformation的不同参数的结构
做一个快乐学习者
05-27 1080
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); typed...
NTDLL
Lassewang的成长历程
04-26 1166
/*++ Copyright (c) Module Name: SafeModel.h Abstract: This framework is generated by QuickSYS 0.4 Author: Environment: User or kernel mode. Revision History: --*/ #ifndef
Nt内核函数原型and中文
dengjiatao9832的博客
09-21 528
NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止...
由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 问题解决
ahch8077的博客
12-26 414
今天使用VS2008调试dll程序,调用dll的exe抛出异常 由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 发现原因是小红伞Avira更新导致的。 官方的解决方案为: http://www.avira.com/de/support-for-free-faq-detail/faqid/805 不过是德语的 官方称这个b...
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1047
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
ApiHook.rar_APIHOOK_CHookApi_Jmp _windows hooks api
最新发布
09-24
"ApiHook.rar_APIHOOK_CHookApi_Jmp_windows_hooks_api"这个压缩包显然是关于API Hook编程的一个资源集合,特别关注CHookApi(C语言实现的API钩子)和Jmp(跳转指令)的使用。 API Hook的基本原理是,通过替换API...
rookit_playground:用于了解 rootkit 和 Windows Kernel Hooks 的教育资源库
06-17
Rootkit 游乐场用于了解 rootkit 和 Windows 内核挂钩的教育资源库。 ##About 本存储库中包含的信息仅用于教育目的。 这个项目最初的动机是人们如何颠覆 Windows 内核,试图创建可以隐藏的构造,并且有一天将成为...
Undocumented Windows NT 带图完整英文版chm
10-22
ADDING NEW SOFTWARE INTERRUPTS TO THE WINDOWS NT KERNEL USING CALLGATES TO EXECUTE PRIVILEGED CODE HOW TO USE THE CALLGATE TECHNIQUE PAGING ISSUES SUMMARY Chapter 11: Portable Executable File ...
Undocumented Windows NT 英文完整版chm
10-22
This book documents what goes on under the covers in Windows NT. Three experts share what they've dug up on NT through years of hands-on research and programming experience. The authors dissect the ...
yarnhook:在git hooks上自动运行“ yarn install”,“ npm install”或“ pnpm install
02-02
yarn add --dev yarnhook husky# ornpm install --save-dev yarnhook husky# orpnpm install --save-dev yarnhook husky组态您应该让yarnhook处理改变依赖关系的git hook。 示例package.json如下所示: { " husky ...
SystemCrashDumpStateInformation加载驱动
04-14 784
使用如下代码可将系统中的atapi.sys (如果你的机器磁盘PORT驱动是atapi.sys的话,如果是scsiport的话会有不同)加载到系统中。模块名为dump_atapi.sys(如果已配置了生成dump则无法生效)HMODULE hlib = LoadLibrary("ntdll.dll");PVOID p = GetProcAddress(hlib , "NtSetSystemIn
 Windows子系统(GUI)
maomao171314的专栏
12-15 5144
Windows子系统 1 Windows子系统结构 Windows子系统结构,如图: Windows子系统有用户模式和内核模式组件。列出这些组件的职责: a. 内核模块win32k.sys。是Windows内核的扩展。包含两大功能组成部分: 窗口管理器(window manager): 负责控制窗口显示、管理屏幕输出、手机来自键盘鼠标和其他设备的输入,以及将用户信息传递给应用程序。 GDI:图形输出设备的函数库。 b.图形设备驱动程序。 c.Windows环境子系统进程(csrss.e..
Nt函数原型
weixin_30700099的博客
04-01 148
代码 NTSYSAPINTSTATUSNTAPINtAcceptConnectPort(OUTPHANDLEPortHandle,INPVOIDPortIdentifier,INPPORT_MESSAGEMessage,INBOOLEANAccept,INOUTPPORT_VIEWServerViewOPTIONAL,OUTPREMOTE...
NtQuerySystemInformation 函数简单解析
Learning_tg的专栏
08-26 1033
1.函数定义:     此函数是微软内部使用函数,未公开。此函数在之后的操作系统之后会有所改变,需注意使用。  NTSTATUS WINAPI NtQuerySystemInformation( _In_       SYSTEM_INFORMATION_CLASS SystemInformationClass, _Inout_    PVOID SystemInformation
ZwSetSystemInformation的使用
04-02 2062
實驗對象:卡巴7.0.0.125實驗函數:ZwSetSystemInformation實驗內容:繞過卡吧裝驅動(多麽恐怖的事),結果將會使系統失去防禦 // TestKisOfZwSetSystemInformation.cpp : Defines the entry point for the console application.// #include #
zwSetSystemInformation加载驱动
lerroy312的专栏
09-04 701
转自http://blog.csdn.net/xiaocaiju/article/details/7583234   zwSetSystemInformation函数是个未公开的函数,调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. [c
关于未公开函数ZwQuerySystemInformation的使用
热门推荐
行者无疆的专栏
07-16 1万+
最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。       我看到驱动程序调用的一段代码的使用: ULONG GetModuleBase(PCHAR szModuleName) { ULONG uSize = 0x10000; PVOID pModuleInfo = ExAllocatePoolWithTag(NonP
使用NtQuerySystemInformation遍历进程信息[详细篇]
weixin_42270114的博客
07-15 5959
使用NtQuerySystemInformation遍历进程信息[详细篇]
阻止反外挂GPK/sys加载思路
暗组-萬歲
07-20 4691
思路建议: sys 驱动加载之前,要 CreateService ,试试拦截这个api?或者更底层? 不重启的话,Hook ZwLoadDriver,ZwSetSysteminformation基本就差不多了createservice,zwloaddriver,zwsetsyst
深入理解Ftrace Kernel Hooks:超越单纯的跟踪技术
"这份文档主要探讨了Linux内核中的Ftrace功能钩子,它不仅用于追踪,还具有多种用途...通过Ftrace Kernel Hooks,开发者能够深入洞察内核的内部工作,对优化内核性能、调试问题、追踪异常事件等方面提供了强大的支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值