做X64 shadow SSDT HOOK引擎那些事儿~~

最新推荐文章于 2020-02-13 17:12:36 发布
最新推荐文章于 2020-02-13 17:12:36 发布
阅读量2.4k 收藏
点赞数
分类专栏: windwos内核 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/48691061
版权
废话不多少 我做HOOK引擎遇到的事儿~~~

先看一下代码 ,里面有详细地址
.text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o
.text:FFFFF97FFF072744                                         ; .pdata:FFFFF97FFF2E44F0o ...
.text:FFFFF97FFF072744
.text:FFFFF97FFF072744 arg_0           = qword ptr  8
.tex
最低0.47元/天 解锁文章
qq_18942885
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x64技术之SSDT_Hook
Hades的博客
05-10 5588
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
墨鱼菜鸡
12-18 280
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServ...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3863
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3055
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
ShadowSSDT hook
kernweak的博客
06-01 404
ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。 采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。 然后考虑下标:下标只能硬...
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4519
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 420
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2890
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
SSDT hookShadow SSDT hook的方法
fyfy
11-21 748
https://bbs.pediy.com/thread-143987.htm 有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从那学起的吧“请嘴
x64 ssdt shadowssdt inlinkhook
04-07
标题中的“x64 ssdt shadowssdt inlinkhook”涉及到的是Windows系统内核级的钩子技术,尤其是针对x64架构下的System Service Dispatch Table (SSDT)和Shadow SSDT的内联钩子(In-Process Hook)实现。SSDT是Windows...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
热门推荐
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程
VT调试器 X64
落笔飞花笑百生的博客
12-30 7782
想了很久还是发上来吧,烂在硬盘里面没用,共享既是进步~ 前排感谢在我学习Intel-VT技术困难的时候各位朋友的帮助 Tesla.Angela 有人吗? cvcvxk viphack sxpp Kalong 以及国外友人asamy 以上排名不分先后 这份代码在WIN7 64 打了补丁的情况下能正常工作 不打补丁需要对THREAD的结构体个修改 才可以正常运行 代码部分: 这
几种枚举窗口的方法(包括猥琐的你懂得)
落笔飞花笑百生的博客
05-26 6379
老生常谈的枚举那些就 不说了 说一些 很少有人处理的 POINT pt; GetCursorPos(&pt);   hd=WindowFromPhysicalPoint(pt);     if (hd!=NULL)     {       GetWindowTextA(hd, text, 260);       printf("text :%s \n",text);     
逆WIN7X64内核调试体系之NtDebugActiveProcess
落笔飞花笑百生的博客
09-27 3947
NTSTATUS __fastcall proxyNtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle){         PMY_OBJECT_TYPE object;         PMY_OBJECT_TYPE debugobject;         OBJECT_HANDLE_INFORMATION
shadowSSDT
最新发布
06-07
ShadowSSDT是Windows系统中的一种动态调试工具,全称是Shadow System DLLs Tracing(阴影系统DLL追踪)。它主要用于调试和分析系统级的DLL(动态链接库)行为,特别是那些被系统内核调用的关键系统DLL。ShadowSSDT通过创建DLL的副本(影子DLL),可以在不影响实际运行的情况下对这些DLL的加载、调用过程进行详细的跟踪,这对于深入理解系统内部的工作原理、排查驱动程序或系统服务问题非常有用。 使用ShadowSSDT,开发者和诊断人员可以查看到每个API函数的详细调用链路,包括参数值、返回值等信息,这对于调试驱动程序错误、分析系统性能瓶颈或者研究Windows内核机制非常有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值