驱动笔记:SSDT HOOK实现进程保护

最新推荐文章于 2024-05-20 10:23:39 发布
最新推荐文章于 2024-05-20 10:23:39 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: ssdt及驱动 文章标签: hook basic struct query .net api

驱动笔记:SSDT HOOK实现进程保护
2009-02-19 10:30:47  www.hackbase.com  来源:7747.net
  http://nokyo.blogbus.com/logs/35320995.html  SSDT HOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。根据常规的做法,我们应该挂钩ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个 ...
  http://nokyo.blogbus.com/logs/35320995.html
  SSDT HOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。根据常规的做法,我们应该挂钩ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个是进程句柄,它指定了需要被结束的进程。
  由于我们不能直接从进程句柄获取有关进程的一些信息,这就使得一些“懒惰”的家伙尝试找一些捷径。由于要想获得句柄通常都需要首先调用ZwOpenProcess,而ZwOpenProcess需要传递PID作为标识,于是有些人就不管ZwTerminateProcess函数了,改为挂钩ZwOpenProcess,这样你无法打开我们关注的进程,也就无法获得句柄,自然也就没办法结束我们的进程。
  乍一看,这还是真是一种思路巧妙的做法。不过,点心毕竟是不能当正餐吃的,这样的做法作为临时救火也没什么,要是一直抱着它不愿放弃就大错特错了。
  实际上,这种做法是有副作用的,比如通常在ring3使用PSAPI枚举进程时,我们经常使用下面的代码来获取进程完整路径:
  HANDLE hProcess = OpenProcess(
  PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,
  FALSE,
  ProcessId[i]);
  if(hProcess)
  {
  EnumProcessModules(hProcess,&hModule,sizeof(hModule),&cbNeeded);
  GetModuleFileNameEx(hProcess,hModule,szPath,sizeof(szPath));
  // 输出到列表框
  }
  CloseHandle(hProcess);
  如果我们挂钩了ZwOpenProcess,那么使用这种方法枚举进程的程序就可能无法获得我们的保护进程信息。有人会说这样还不好?不要忘了,我们的目的不是隐藏,而是保护。自我保护是任何人都无可非议的做法,但尝试隐藏自身却会让人怀疑你的目的。
  其实说穿了,我们挂钩ZwOpenProcess的根本原因是不会使用句柄得到进程信息。好吧,我们现在就介绍如何通过进程句柄获取信息。
  在炉子的《API HOOK实现ring3的进程保护》一文中给出了一种解决方法,即使用NTDLL导出的Zw(Nt)QueryInformationProcess函数。
  下面我们看看这个函数的声明:
  NTSYSAPI
  NTSTATUS
  NTAPI
  NtQueryInformationProcess(
  IN HANDLE        ProcessHandle,
  IN PROCESSINFOCLASS  ProcessInformationClass,
  OUT PVOID          ProcessInformation,
  IN ULONG         ProcessInformationLength,
  OUT PULONG        ReturnLength );
  这个函数的关键是第二个参数,它决定了第三个参数输出什么结构。现在我们可以将其填写为ProcessBasicInformation,这样我们会获得一个PROCESS_BASIC_INFORMATION结构的信息输出。而PROCESS_BASIC_INFORMATION结构的UniqueProcessId子域即是该句柄代表的进程ID。
  下面是通过句柄获得PID的代码:
  ULONG lRet;
  PVOID pBuffer;
  PROCESS_BASIC_INFORMATION  *pbi;
  pBuffer = ExAllocatePool(PagedPool, sizeof(PROCESS_BASIC_INFORMATION));
  ZwQueryInformationProcess(ProcessHandle,
  ProcessBasicInformation,
  pBuffer,
  sizeof(PROCESS_BASIC_INFORMATION),
  &lRet);
  pbi = (struct _PROCESS_BASIC_INFORMATION *)pBuffer;
  KdPrint(("ProcessHandle代表进程%d!", pbi.UniqueProcessId));
  有了PID剩下的就好办了,我们可以使用函数PsLookupProcessByProcessId来获取该进程的EPROCESS结构,这个结构中就有进程名的信息。
  与之类似,文件句柄可以通过Zw(Nt)QueryInformationFile函数,注册表句柄可以通过Zw(Nt)QueryKey函数来获取有关信息。
  另外还有一种较为通用的方法,即使用ObReferenceObjectByHandle函数和ObQueryNameString函数配合使用。它可以通过进程句柄、文件句柄、注册表句柄获取完整的路径信息。

lionzl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
隐藏:具有用户模式界面的Windows驱动程序,可以隐藏文件系统和注册表的对象,保护进程
02-05
隐藏:具有用户模式界面的Windows驱动程序,可以隐藏文件系统和注册表的对象,保护进程
SSDTHook实现进程保护
06-29
SSDTHook是一种技术,主要用于实现进程保护,它涉及到Windows操作系统内部的系统服务描述表(System Service Dispatch Table,简称SSDT)的hook机制。在Windows系统中,SSDT是内核模式下的一个关键数据结构,它存储...
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1800
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
转贴: 过神鬼传奇SSDT HOOK 方法
weixin_34235371的博客
01-08 731
原贴: 手把手教你使用WINDBG KO XXXX游戏驱动保护 vcD'~)G(*  来源于: http://bbs.pediy.com/showthread.php?t=77952 K#U{<pUP  0JOju$Bl,  "] 9_Fv  【破文标题】手把手教你使用WINDBG KO XXXX游戏驱动保护 k%a?SU< f  【破文作者】lj8888 z7$}#)Z7  【作者邮...
驱动级!进程隐藏-按键精灵过检】驱动级,内核级进程隐藏,进程保护。实战效果演示,免费分享。
最新发布
luoqiaoliang的博客
05-20 1097
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
[内核编程]Win7~Win10 都可以用的进程保护源码
vShaShen_的博客
08-08 422
原作者:ShaShen。
VB 使用 ZwQueryInformationProcess
資料為我做事
03-09 491
Option ExplicitPublic Declare Function ZwQueryInformationProcess _Lib "NTDLL.DLL" (ByVal ProcessHandle As Long, _ByVal ProcessInformationClass As PROCESSINFOCLASS, _ByVal ProcessInformation As Long...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
5. 恢复SSDT:在适当的时候,如系统退出或卸载模块时,应将原始服务函数指针恢复,以保持系统的正常运作。 需要注意的是,由于SSDT Hook涉及到内核操作,因此必须谨慎使用,错误的操作可能导致系统崩溃或不稳定。...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动Hook SSDT:进程驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
SSDT.rar_hook 驱动是针对系统服务描述表(System Service Dispatch Table, SSDT)进行操作的一个技术,主要用于在Windows操作系统中实现钩子(hook)功能。SSDT是操作系统核心与用户模式应用程序之间交互的重要桥梁...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
进程保护源码-易语言
06-12
保护进程不被任务管理器结束,无模块,无驱动
利用python进行进程检查与保护
清涵
08-08 1710
利用python对进程进行检查 原来有一个服务直接启动的,在启动一段时间后该服务莫名其妙就挂了,可能是机器重启,也可能是服务本身不稳定,但是这个服务是第三方直接提供的执行文件,没办法调整,最后只能写一个进程守护的程序,主要实现思想是对改服务提供服务的端口进行检测,端口没有启动这个服务就是挂了,自动对这个服务进行启动就可以了,具体代码实现如下: #!/usr/bin/env python #...
Anti-Screen Capture(Prevent Screen Captures)截屏与反截屏
Koma的主页
05-07 7791
1.数字图片使用类似与动画的方式显示,每次显示的是数字的一部分,当动态显示的时候人眼是可以分辨出具体数字的。但是截图的话就只能截取一部分,参考: cups.cs.cmu.edu/soups/2007/posters/p147_lim.pdf 2.屏蔽系统按键:Print Screen 和 Alt + Print Screen,主要原理是注册热键的方式,参考: http://www.v
SSDT Hook的妙用-对抗ring0 inline hook
liujiayu2的专栏
06-30 1533
******************************************************* *标题:【原创】SSDHook的妙用-对抗ring0 inline hook  * *作者:堕落天才                                        * *日期:2007年3月10号                                 
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 485
在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
Vt hook ssdt
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值