SSDThook

最新推荐文章于 2022-09-07 16:19:48 发布
最新推荐文章于 2022-09-07 16:19:48 发布
阅读量374 收藏 1
点赞数
分类专栏: windows驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21000273/article/details/53958213
版权

SSDT hook整个流程:

获取SSDT表,自定义函数替换表中函数地址。


通过以下的方式获取SSDT表的内容:

typedef struct ServiceDescriptorTable
    {
    PVOID ServiceTableBase;
    PVOID ServiceCounterTable;
    unsigned int NumberOfSection;
    PVOID ParamTableBase;
    }*PServiceDescriptorTable;
extern "C" PServiceDescriptorTable KeServiceDescriptorTable;


自定义函数:MyNtOpenProcess

extern "C" typedef NTSTATUS _stdcall NTOPENPROCESS
    (
    OUT PHANDLE ProcessHandle,
    IN ACCESS_MASK AccessMask,
    IN POBJECT_ATTRIBUTES ObjectAttributes,
    IN PCLIENT_ID ClientId
    );
NTOPENPROCESS *Real_NtOpenProcess;
extern "C" NTSTATUS _stdcall MyNtOpenProcess(
    OUT PHANDLE ProcessHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes,
    IN PCLIENT_ID ClientId
    )
    {
    NTSTATUS  rc;
    rc = Real_NtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);;
    int PID = (int)ClientId->UniqueProcess;
    if(PID == g_MyPID &&-1 != g_MyPID)
        {
        KdPrint(("阻止的PID =========%d",PID));
        ProcessHandle = NULL;
        rc = STATUS_ACCESS_DENIED;
        }
    return rc;
    }

hook  函数:

NTSTATUS Hook()
    {
    //Real_NtOpenProcess 
    int* HookAddr;
    _asm{
        push eax;
        push ebx;
        mov ebx,KeServiceDescriptorTable;
        mov ebx,[ebx];
        mov eax,0xBE;
        shl eax,2;
        add ebx,eax;
        mov HookAddr,ebx;
        mov ebx,[ebx];
        mov Real_NtOpenProcess,ebx;
        pop ebx;
        pop eax;
        }
    KdPrint(("Real_NtOpenProcess ====%x",Real_NtOpenProcess));
    _asm{
        cli
        mov eax,cr0;
        and eax,0xfffeffff;
        mov cr0,eax;
        }
    *HookAddr = (int)MyNtOpenProcess;
    _asm{
        mov eax,cr0;
        or eax,0x10000;
        mov cr0,eax;
        sti;
        }
    return STATUS_SUCCESS;
    }

unHook 函数: 

NTSTATUS UnHook()
    {
    int *HookAddr;
    _asm{
        pushad;
        mov eax,KeServiceDescriptorTable;
        mov eax,[eax];
        mov ebx,0xBE;
        shl ebx,2;
        add eax,ebx;
        mov HookAddr,eax;
        popad;
        }
    _asm{
        cli
        mov eax,cr0;
        and eax,0xfffeffff;
        mov cr0,eax;
        }
    KdPrint(("operator of Unhook is successe  Real_NtOpenProcess = %x ",Real_NtOpenProcess));
    *HookAddr = (int)Real_NtOpenProcess;
    _asm{
        mov eax,cr0;
        or eax,0x10000;
        mov cr0,eax;
        }
    return STATUS_SUCCESS;
    }


小猪背书包
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8224
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
SSDTHook
dre4merp
05-16 306
准备学习一下Hook技术,从最简单的SSDT Hook开始。 关于SSDT是什么参考:SSDT知识 SSDT Hook的实现思路就是 将SST表中储存的函数地址换成我们的fake函数的地址,并保存原函数地址 执行我们的fake函数后再调用原函数 从而实现在调用指定函数前进行自定义的处理。 首先我们要找到要挂钩的函数的地址,并保存起来 UNICODE_STRING v1; RtlInitUnicodeString(&v1, L"ZwOpenProcess"); __ZwOpen
SSDTHOOK
落笔飞花笑百生的博客
04-27 493
 #include "ntddk.h" void PageProtectOff(); void PageProtectOn(); #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase;
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3148
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...
SSDTHook实现进程保护
06-29
SSDTHook是一种技术,主要用于实现进程保护,它涉及到Windows操作系统内部的系统服务描述表(System Service Dispatch Table,简称SSDT)的hook机制。在Windows系统中,SSDT是内核模式下的一个关键数据结构,它存储...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
【顶】Rootkit技术之内核钩子原理
12-02 843
      我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在黑客的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低级功能。有了内核级钩子,我们不但能够控制、监视其他程序并过滤有关
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
SSDT HOOK
125096
11-17 393
#include #include NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); #pragma pack(1) typedef struct _SystemServiceEntry { ULONG *ServiceTableBase; ULONG *Ser
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2507
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
win 64 SSDT HOOK
weixin_30815469的博客
10-01 258
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
ssdt表通用hook 任意ssdthook
08-13 242
ULONG old_NtCreateDebugObject=0; ULONG ssdt_hook_quanbu_biaozhong(ULONG ssdt_i,ULONG newhanshu) { old_NtCreateDebugObject = KeServiceDescriptorTable.ServiceTableBase[ssdt_i]; __asm { cli m...
SSDTHook的原理
谢绝留言与私信
02-08 823
前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看SSDTHook时, 先复习一下SSDT原理, 用Windbg做下试验.记录 /** // SSDT的原理 // 假设要Hook ZwQu
SSDT】SSDT hook技术
最新发布
dr0op's blog
09-07 2165
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
HOOK技术:SSDT HOOK(x86)
weixin_43742894的博客
04-02 491
在进行SSDT Hook之前我们要先了解SSDT的概念和作用。 SSDT: System Services Descriptor Table(系统服务描述符表),在内核中是KeServiceDescriptorTable。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服...
内核编程之SSDTHook(3)Hook NtCreateSection监控所有可执行模块加载
zuishikonghuan的博客
03-18 5585
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/50924829 在上两篇博文中,我介绍了SSDTHook的原理,并给出了一个实例--通过Hook NtOpenProcess来实现进程保护:http://blog.csdn.net/
SSDT HOOK技术实现Ring0级进程保护组件解析
经典教程 - 基于SSDTHOOK技术的Ring0级进程保护组件设计与实现" 这篇教程详细阐述了如何利用SSDT(System Service Descriptor Table)HOOK技术来设计和实现一个Ring0级别的进程保护组件。SSDT是Windows操作系统中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值