011_OpenProcess_进入内核_ssdt_过程_win32子系统

最新推荐文章于 2021-07-18 18:58:02 发布
最新推荐文章于 2021-07-18 18:58:02 发布
阅读量602 收藏
点赞数
分类专栏: 内核驱动全部集合

预计平均三天一课,录制过程中,大纲会实时更新(更改)

主讲:郁金香灬老师  QQ150330575

开发环境:VC6VS2003VS2008

www.yjxsoft.net

www.yjxsoft.com

教程购买地址:http://yjxsoft.taobao.com

 

 1.3.3 用工具过驱动保护(确定学习方向)

      A、用户层至内核的隐秘通道

      B、浅谈过保护原理

      C、实战过XX游戏驱动保护,让OD正常附加调试

      D、小结

WIN32子系统:

    Win32是Windows的一个子系统,还有另外的子系统如OS/2、POSIX、WOW等。
不同的子系统系统提供了不同的编程接口,即API,一般说的API指的就是Win32 API。

 

Win32子系统是最纯正的Windows子系统,提供了大量的API函数,程序员只需要熟练的使用这些API就可以写出Windows应用程序,当然程序员也可以考虑第三方库,如VC提供的MFC,但这些库不过是在应用程序和Win32子系统中间加了一层封装而以,没有本质的区别。

Windows API 分为三类 分别是USER函数,GDI函数,和KERNEL函数

USER函数(user32.dll):这类函数管理窗口,菜单,对话框和控件-Shadow SSDT-Dwin32k.sys

GDI函数(gdi32.dll):这类函数在物理设备上执行绘图操作 -Shadow SSDT-Dwin32k.sys

KERNEL函数(kernel32.dll):这类函数管理非GUI资源,例如,进程,线程,文件,和同步服务等.

ntkrnlpa.exe+ntkrnlpa.lib

 

Native API(Ntdll.dll)

 

NT native API 是可由用户模式和核心模式程序调用的NT系统服务集接口,它们直
接由NT操作系统实现。

SSDT

SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。

 

 

A、应用层到内核隐秘通道

 

以OpenProcess为例

XX.dll----kernel32.OpenProcess---ntdll.NtOpenProcess======= ntdll.ZwOpenProcess

 

7C92D5E0 >  B8 7A000000     MOV EAX,7A

7C92D5E5    BA 0003FE7F     MOV EDX,7FFE0300

7C92D5EA    FF12            CALL DWORD PTR DS:[EDX]

7C92D5EC    C2 1000         RETN 10

 

7FFE0300  7C92E4F0  ntdll.KiFastSystemCall  //EAX参数

 

7C92E4F0 >  8BD4            MOV EDX,ESP

7C92E4F2    0F34            SYSENTER    //切换内核

0xA53A41AA   0x805CC40A

 

jmp ntkrnlpa.NtOpenProcess

 

 

内核ntkrnlpa.ZwOpenProcess---SSDT--ntkrnlpa.NtOpenProcess--

 

 

 

 

 

 


B、浅谈过保护原理

  调试必经过程-获取进程ID-OpenProcess打开调试进程

  WriteProcessMemory()

 

C、实战过XX游戏驱动保护,让OD正常附加调试

 

D、小结
shadow ssdt

Ntgdigetpixel 屏幕取点的函数


 

  

 

「已注销」
关注
专栏目录
windows上调试win32子系统的方法
10-14 1352
 最近做的一个东西需要调试win32子系统(例如Lsass.exe进程),但是发现要对win32子系统进行调试好像比较麻烦。首先想到的是它是运行在user mode, 因此一般来讲应该用user mode的调试工具来调试。可是,如果用debuuger直接跟它相连,调试器退出时计算机就会自动重启,使得调试无法进行下去。其次,如果我们想在机器启动的时候调试lsass也不可能,因为user mode d
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
11、OpenProcess
Windows内核学习笔记
07-18 311
neg指令 neg指令详细解释 规则: neg reg (对寄存器操作) neg mem(对内存操作) 作用:将目的操作数的所有数据位取反加1 影响的标志:进位标志(CF),零标志(ZF),符合标志(SF),溢出标志(OF),辅助进位标志(AF),奇偶标志(PF) 当操作数为0时,置CF位为0 当操作数不为0时,置CF位为1 sbb指令 sbb是带借位减法指令,它利用了CF位上记录的借位值。 指令格式:sbb 操作对象1,操作对象2 功能:操作对象1=操作对象1-操作对象2-CF 比如指令sbb ax,b
郁金香VC++外挂编程全集中级篇2.1.5part01
07-24
课程安排,暂定,有可能会实时修改 编程语言,VC++6.0 工具主要为(OD1.1,CE5.4) 预计平均3天左右更新一课 大家好,我是郁金香老师:QQ150330575 欢迎大家参加梅州技术 VC++外挂编程VIP培训班。 在接下来的一段时间将由我和大家一起学习游戏外挂的分析,制作。 课程分四个大章节 初级篇,中级篇,进阶篇,高级篇 初级篇内容:编写一个完整的,简单的外挂 C++的数据类型:Byte,Word,DWORD,int,float API函数的调mouse_event,GetWindowRect,SetCursorPos,FindWindow,SendMessage) CE5.4工具的使用方法 中级篇内容:调试工具的使用技巧,功能CALL的概念 调试工具OD1.1的使用技巧(如硬件断点,条件断点,内存断点。 常用汇编指令与对应高级语言的转换。 游戏功能CALL概念 找第一个功能CALL 外挂框架的构建(通用) 进阶篇内容:分析游戏内部数据,分析常用功能CALL 游戏数据实践找各种功能CALL(如打怪,选怪,物品使用,技能栏之类)及相应的代码编写 高级篇内容:编写完整外挂 完成一个相对完整的外挂,实现 自动挂机,打怪,存放物品之类的功能 1 入门篇.以《QQ连连看为例》 1.1、一个最简单的外挂 1.1.1、游戏数据分析(SPY++) 1.1.1、游戏窗口数据分析(SPY++) a、取得窗口相对坐标 b、读出游戏窗口信息GetWindowRect c、移动鼠标指针SetCursorPos 1.1.2 用VC++写个最简单的外挂(实现游戏开局) a、鼠拟鼠标单击mouse_event b、鼠标指针移动还原 c、集成到startgame函数里 1.2、用CE查找棋盘数据 1.2.1、数据类型:Bit,Byte,Word,Dword 、用CE查找坐位号; 1.2.2、用CE查出4个棋盘基址; 1.3、用模拟技术编制外挂 1.3.1 模拟鼠标点击实现 交换棋子 1.3.2 把所有功能集成封装到 函数里 1.3.3 利用棋盘数据 ,模拟实现下棋功能 1.3.4 编写完整外挂,界面美化 1.4、游戏加速.去掉对动画效果.非HOOK 1.4.1:用OD找出 动画延时代码 1.4.2:写代码去掉延时,实现游戏加速 2 中级篇 以热血江湖为例 2.1、分析前的准备..CALL简介: 2.1.1、CALL调用示例分析.远程代码注入器 2.1.2、调试工具OD简介,血值,魔力值,坐标偏移; 2.1.3、游戏基址概念; 2.1.4、常用汇编指令详解 2.1.5、内联汇编编程实例 2.2、游戏分析利器OD(OllyDbg) 2.2.1、分析角色基址 2.2.2、找打坐CALL 2.2.3、读出角色当前血值 2.2.4、远程注入代码,调用打坐CALL; 2.2.5、实例分析:找技能栏对象数组基址+偏移: 2.2.6: 拦截F1-F8功能CALL 2.3、外挂框架构建 2.3.1、DLL动态链接库构建,与调用 2.3.2、API与回调函数 2.3.3、DLL中构建窗口 2.4、用OD分析游戏功能CALL.《热血江湖》为例:主要是找CALL 2.4.1、选怪CALL 2.4.2、找游戏物品背包的基址+偏移 2.4.3、 吃红药(补血)CALL 2.4.4、 吃蓝(补魔)CALL 2.4.5、 技能CALL1 2.4.6、技能CALL2 2.4.7、所有技能CALL 2.4.8、捡物CALL 2.4.9、所有动作CALL 3、进阶篇 主要讲功能CALL的参数分析 汇编浮点指令/浮点运行/浮点数整数转换/汇编里的指针 3.1、喊话功能 3.2、走路 3.3、 怪物过滤 3.3.1、怪物属性分析 3.3.2、怪物列表关键代码分析 3.3.3、怪物列表基址+大小 3.3.4、怪物列表编写代码 3.3.5、怪物过滤 3.4、 物品过滤 3.4.1、物品属性分析 3.4.2、物品列表关键代码分析 3.4.3、找出物品列表基址+偏移 3.4.4、物品过滤(编程读出物品列表数据) 3.5、 组队相关 3.5.1、 玩家列表 3.5.2、 组队功能 3.5.3、 离队功能 3.6、购物/售物 3.6.1、与NPC对话框 3.6.2、打开购物/售物对话框 3.6.3、购物功能 3.6.4、售物功能 3.7、 摆摊.开店 a、开店CALL参数分析 b、写代码测试 4、高级篇 4.1、编写完整的外挂 4.2、游戏更新后的外挂更新 4.3、脚本功能 4.4、游戏多开实现 4.5、盗号的实现
016_为DDK_HelloWorld添加默认派遣例程
05-06 426
预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师  QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com    1.3.8为DDK_HelloWorld添加默认派遣例程-16课       A、初识IRP    ...
显示和杀死系统当前进程.rar_OpenProcess_TerminateProcess
09-21
此代码示范了如何利用 CreateToolhelp32Snapshot API函数枚举系统当前进程。以及如何用HANDLE OpenProcess(...),TerminateProcess(...)来打开和关闭活动进程。
ApiHook.rar_APIHOOK_OpenProcess_delphi Openprocess_delphi 拦截api_
09-24
在IT领域,API Hook是一种强大的技术,用于监控或修改应用程序对特定系统调用的使用。在本案例中,"ApiHook.rar_APIHOOK_OpenProcess_delphi" 提到的是使用Delphi编程语言实现的API Hook功能,具体是针对`...
Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen
09-24
标题"Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen"涉及到的是在Windows操作系统中,使用Visual Basic(VB)实现Ring3级别的OpenProcess函数Hook技术。Ring3是用户模式,即应用程序通常运行的...
enum_processes_1.0.rar_OpenProcess delphi
09-19
获取当前用户所有进程,可以按名称查看。使用 OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_READ, False, ProcessIds[I])方法,对学习进程方面有参考
API-Hook-Open-Process.rar_HOOK openprocess_Process_hook api_hook
09-20
2. **定位API地址**:找到`OpenProcess`函数在系统DLL(如kernel32.dll)中的真实地址。 3. **安装Hook**:替换目标API的入口点,使其指向我们的Hook函数。这可能涉及修改IAT,或者在内存中直接调整函数指针。 4. ...
注入dll 加速
07-03
加速dll 注入dll ace 加速
VC常用数据类型的使用
06-06
VC常用数据类型的使用 刚接触VC编程的朋友往往对许多数据类型的转换感到迷惑不解,本文将介绍一些常用数据类型的使用。
全面的学习 游戏外挂 编程开发 视频教程+源代码
pass1008的专栏
10-12 1万+
 有游戏分析,CALL基址分析,封包分析,外挂制作 ,逆向调试,过驱动保护等课程课程大网如下  详情见:郁金香外挂教学网:http://bbs.yjxsoft.net   VC++外挂教程大纲(另有delphi版 大致相同) 程安排,暂定,有可能会实时修改 开发环境:VC++6.0 分析工具
过TP保护与解除游戏驱动保护(可以借鉴)
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
VS2012 未能打开解决方案的源代码数据库
fenhong91的博客
11-27 3678
VS中无法打开类向导 一、到Microsoft 官网下载Microsoft SQL Server Compact 4.0        下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=17876 二、在安装文件或光盘的\packages\SSCE40里安装SQL Server Compact。    6
基于Ssm和Vue的电影网站源码 电影网站代码(程序,中文注释)
最新发布
09-29
电影网站-电影网站-电影网站-电影网站-电影网站-电影网站-电影网站-电影网站-电影网站-电影网站-电影网站-电影网站 1、资源说明:电影网站源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java ③ 框架:Ssm ④ 架构:B/S、MVC ⑤ 开发环境:IDEA、JDK、Maven、Mysql ⑥ 数据库:mysql ⑦ 服
openprocess怎么进入内核
07-14
OpenProcess函数本身并不直接进入内核,它是由应用程序通过调用用户模式的API函数来间接与内核进行通信的。下面是Process函数如何与内核进行交互的简要过程: 1. 应用程序调用OpenProcess函数,并传入进程访问权限和目标进程的ID(PID)作为参数。 2. OpenProcess函数是一个用户模式的API函数,所以它在用户模式下执行。它会将传入的参数和请求发送到内核。 3. 在用户模式下执行的OpenProcess函数会触发一个特权级转换(Privilege Level Transition)。这意味着它会将请求传递给操作系统内核,以便在更高特权级的内核模式下执行。 4. 在内核模式下,操作系统内核接收到OpenProcess函数的请求,并验证调用进程是否具有足够的权限来执行该操作。 5. 内核根据传入的PID查找目标进程的EPROCESS(进程控制块)结构,并为该进程创建一个进程对象。 6. 内核为该进程对象分配一个唯一的内部标识符(句柄),并将进程对象的句柄返回给用户模式。 7. OpenProcess函数在用户模式下接收到进程对象的句柄后,将其返回给应用程序。 需要注意的是,OpenProcess函数本身并没有直接进入内核模式执行,它是通过用户模式和内核模式之间的特权级转换来与内核进行通信。内核根据请求执行相应的操作,并将结果返回给用户模式。这种设计可以确保操作系统的安全性和稳定性,并防止应用程序直接访问和修改内核数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值