对于SSDT HOOK的疑惑和探索

最新推荐文章于 2024-01-01 17:06:58 发布
最新推荐文章于 2024-01-01 17:06:58 发布
阅读量917 收藏
点赞数
文章标签: ssdt hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011365452/article/details/12053687
版权

先感谢“梦想的天空”提供这么优秀的学习资料

废话不多说,直接上疑问,仔细阅读原文第二篇

原文中间部分有这么一段话

从下面的代码中,我们看到在安装 Hook 和解除 Hook 时参数传递进去的是 ZwQuerySystemInformation,

这样很有可能会让很多朋友认为我们在 Ring0 下的 Hook 的是 ZwQuerySystemInformation,

如果你这样认为的话,那就大错特错了,确实在 Google 上搜索出的一大堆关于 SSDT Hook 中,

很多文章都说是 Hook 的 ZwQuerySystemInformation,而事实上这是大错特错的,

我们这里传入 ZwQuerySystemInformation ,是因为我们需要调用 SYS_INDEX(ZwQuerySystemInformation)

来获得 NtQuerySystemInformation 在 SSDT 中的地址所在的索引号,

然后我们根据这个索引号来 Hook NtQuerySystemInformation,

认识到这一点是非常重要的,因为我一开始也认为是 Hook 的 ZwQuerySystemInformation,

从而导致蓝屏了 n 次,在这里非常鄙视那些把文章从别处拷贝过来也不加验证就乱发表的 ~ 害死人 ~ 当然也要怪自己懒 ~

image

       

image

从上面两端代码来看,installsysservicehook()以及uninstallsysservicehook()这两个函数的参数确实是传的ZwQuerySystemInformation,作者原文(我们这里传入 ZwQuerySystemInformation ,是因为我们需要调用 SYS_INDEX(ZwQuerySystemInformation)),不理解!跟进查看到底是怎么获取Nt系列函数在SSDT内的索引号



代码 77 是一个宏,继续跟进




代码 52 行的注释我感觉应该是 根据 zw 函数获取 nt 函数在SSDT中所对应的服务索引号,疑问来了,

从DriverEntry开始一路跟进查看,我们知道,ServiceFunction其实就是ZwQuerySystemInformation函数的地址

*(地址)怎么就能取出 nt 系列函数的索引号呢?

解决问题的方法就是实践,我们先来查看ZwQuerySystemInformation函数的地址



查看内存 804feff8,看见下面的 ad 是不是感觉很亲切~~~

*(PULONG)((unsigned char *)804feff8 + 1) 就是 00 00 00 ad !



同理,验证一下 ZwTerminateProcess



*(PULONG)((unsigned char *)804feff8 + 1) 就是 00 00 01 01 是不是也感觉很亲切啊~~~







平凡的闰土
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入解析:如何使用挂钩`NtQuerySystemInformation` API以隐藏特定进程的DLL注入技巧
qq_38334677的博客
10-05 109
通过挂钩API来隐藏进程是一个强大但需要谨慎使用的技术。正确地应用这种技术可以为开发者提供深入的系统级别的控制,但同时也带来了其它风险和挑战。在实际的应用中,除了技术层面的挑战外,使用这种方法也需要考虑其法律和道德方面的影响。特别是当它被用于恶意目的时,它可能会导致法律纠纷或其他负面后果。最后,对于希望深入研究或使用此技术的读者,建议进一步学习相关的资料,掌握完整的技术细节,并始终确保你的应用是正当和合法的。
Hook Shadow SSDT
lionzl的专栏
07-11 1196
網上很多文章都有關於SSDT的完整的實現,但是沒有關於Shadow SSDT的完整實現,目前最好的文章是《shadow ssdt學習筆記 by zhuwg》,我這裡的程式也很多參考了他的文章,在這裡謝謝了。我這裡給出一個hook shadow ssdt的完整實現的驅動和3層的代碼。 這裡主要是hook 了NtUserFindWindowEx,NtUserBuildHwndList,NtUse
驱动笔记:SSDT HOOK实现进程保护
lionzl的专栏
08-27 1185
驱动笔记:SSDT HOOK实现进程保护 2009-02-19 10:30:47  www.hackbase.com  来源:7747.net  http://nokyo.blogbus.com/logs/35320995.html  SSDT HOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。根据常规的做法,我们应该挂钩ZwTerminateProcess函数,不过这个函数仅有两个参数,
关于windows内核SSDT HOOK的一点思考
tiaotiaolong99234的博客
07-02 836
关于windows内核SSDT HOOK的一点思考                                                                                                 ----------------TTL     关于windows内核,一直是众多OS黑客所喜欢又不敢触及的地方,确实,内核的知识实在是隐晦,又生涩难懂
Windows2003 内核级进程隐藏、侦测技术(上)
ygyangguang的专栏
01-19 496
论文关键字: 内核 拦截 活动进程链表 系统服务派遣表 线程调度链 驱动程序简介     论文摘要:信息对抗是目前计算机发展的一个重要的方向,为了更好的防御,必须去深入的了解敌人进攻的招式。信息对抗促使信息技术飞速的发展。下面我选取了信息对抗技术的中一个很小一角关于windows内核级病毒隐藏技术和反病毒侦测技术作为议题详细讨论。    1.为什么选驱动程序    驱动程序是运行在系统
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
如何区分ssdt hook和inline hook钩子
01-25
如何区分ssdt hook和inline hook的区别
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
一个可以导出、写入SSDT表的驱动。链接名称:L"SSDT" 支持I/O操作:GET_HOOK,SET_HOOK,GET_PROC,SET_PROC
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
详细演示了32位系统下的SSDT Hook的安装与恢复
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
03-20
NtQuerySystemInformation判断线程是否被挂起/判断线程状态
NtQuerySystemInformation
11-19
C++ Builder 6.0写的进程查看工具,关键是NtQuerySystemInformation函数的运用,以及Unicode字符与ANSII字符的转换.
API Hook完全手册
killcpp的专栏
12-08 980
1 基本原理org:http://blog.csdn.net/ATField/archive/2007/02/10/1507122.aspxAPI Hook是什么我就不多说了,直接进入正题。API Hook技术主要有下面的技术难点:1. 如何将自己的的代码Inject到其他进程2. 如何Hook到API 1.1 代码的Injection常用的方法有:1. 使用注册表HKLM
最新隐藏进程 RING3实现方式:hook ZwQuerySystemInformation 隐藏进程 在XP里测试通过
aq782645210的专栏
11-14 3480
研究其他作者写的文章,也是hook ZwQuerySystemInformation 隐藏进程,可是我怎么测试都没有通过,不能隐藏进程,在网上也试了其他隐藏进程的代码,也不行。唉,那就只有自己动手啦~~~ 既然hook ZwQuerySystemInformation 可以隐藏进程,我就拿它刀了。首先声明,本人只是业余编程者,代码不好看的地方请多包涵。 经过反复测试,终于找到了关键处: wh
遍历SSDT,检测是否被hook
04-03 2796
此方法只是遍历SSDT,判断是否在ntkrnlpa.exe模块里面。也就是寻找SSDT导出NT函数的原始地址。此方法不适合检测 inline Hook。 typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index
:如何使用挂钩`NtQuerySystemInformation` API以隐藏特定进程的DLL注入技巧
最新发布
m0_57781768的博客
01-01 871
通过挂钩API来隐藏进程是一个强大但需要谨慎使用的技术。正确地应用这种技术可以为开发者提供深入的系统级别的控制,但同时也带来了其它风险和挑战。在实际的应用中,除了技术层面的挑战外,使用这种方法也需要考虑其法律和道德方面的影响。特别是当它被用于恶意目的时,它可能会导致法律纠纷或其他负面后果。
NT内核级进程隐藏2-Hook SSDT及EPROCESS
weixin_33721344的博客
01-21 163
通过Hook SSDT (System Service Dispath Table) 隐藏进程 1.原理介绍: Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。而API又是通过ntdll里面的核心API来进行系统服务的查询。核心API通过对int 2e的切换,从用户模式转换到内核模式。2Eh中断的功能是通过NTOSKRNL.EXE的一个函数KiSystemSe...
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1016
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hookHook api 实现隐藏参数...
Hook ZwQuerySystemInformation 隐藏qq程序
03-07 2808
近一直在研究rootkit,首先申明我是rootkit的菜鸟哈,也感觉还么有研究得好深。这次我把我练习时写的一个hook 系统 ZwQuerySystemInformation 函数来实现隐藏QQ进程的代码贴上来,也算是为成黑添砖添瓦哦。隐藏了的进程能够被rootkit的检测工具检测出来,但是一般的方法是看不出来的,比如任务管理器,和程序里面列出进程都是看不到的。程序中我已经添加了相关的注释,这里
Vt hook ssdt
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值