HOOK SSDT NtOpenProcess 保护进程

最新推荐文章于 2022-09-07 16:19:48 发布
最新推荐文章于 2022-09-07 16:19:48 发布
阅读量3.1k 收藏 7
点赞数 1
分类专栏: HOOK 底层
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012410612/article/details/17093079
版权

感谢众大神分享的技术,因为几乎没直接用别人的源码,所以就标题原创

但是因为这个技术肯定是前辈们搞出来的,所以就特意说明下,此乃转载耶

模板用的张帆大牛的

记录一下,以后备用

有些许疑惑,不过都解决了:http://blog.csdn.net/u012410612/article/details/17096597

//本来只是测试MmGetSystemRoutineAddresss函数的,然后发现直接用函数名就可以得到这个地址
//然后就像SSDT HOOK简单测试一下函数地址,
//然后HOOK之后就想简单的实现进程保护
//就这样越多了

#ifdef _cplusplus
extern "C"
{
#endif
#include <ntddk.h>
#ifdef _cplusplus
}
#endif

//定义代码段分页标志
#define PAGEDCODE	code_seg("PAGE")
#define LOCKEDCODE	code_seg()
#define INITCODE	code_seg("INIT")

//定义数据段分页标志
#define PAGEDDATA	code_seg("PAGE")
#define LOCKEDDATA	code_seg()
#define INITDATA	code_seg("INIT")

//定义求数组个数的宏定义
#define arraysize(p)	(sizeof(p) / sizeof((p)[0]))

//定义设备扩展
typedef struct _DEVICE_EXTENSION{
	PDEVICE_OBJECT pDevice;
	UNICODE_STRING ustrDeviceName;		//设备名称
	UNICODE_STRING ustrSymLinkName;		//符号链接名
}DEVICE_EXTENSION, *PDEVICE_EXTENSION;

//函数声明//
//初始化时创建设备和符号
NTSTATUS CreateDevice(IN PDRIVER_OBJECT pDriverObject);
//驱动卸载例程
VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject);
//驱动默认分派例程
NTSTATUS DispatchRoutine(IN PDEVICE_OBJECT pDevObj, IN PIRP pIrp);

typedef NTSTATUS ( *pfnNtOpenProcess)(
			PHANDLE,
			ACCESS_MASK,
			POBJECT_ATTRIBUTES,
			PCLIENT_ID);
pfnNtOpenProcess OldNtOpenProcess;

NTSTATUS MyNtOpenProcess(
			OUT PHANDLE ProcessHandle,
			IN ACCESS_MASK DesireAccess,
			IN POBJECT_ATTRIBUTES ObjectAttributes,
			PCLIENT_ID ClientID);
			
typedef struct _SERVICE_DESCRIPTOR_TABLE {
	PVOID 	ServiceTableBase;//System Service Dispatch Table 的基地址
	PVOID 	ServiceCounterTableBase;//包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新
	ULONG	NumberOfServices;//由 ServiceTableB
最低0.47元/天 解锁文章
whitesilt
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 872
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
vc++实现内核级进程保护
天涯专栏
03-03 1960
保护核心代码 #include "ntddk.h" #define NT_DEVICE_NAME      L"//Device//ProtectProcess" #define DOS_DEVICE_NAME     L"//DosDevices//ProtectProcess" #define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE
实现简单的ring3进程保护hook OpenProcess函数、简单分析
weixin_34277853的博客
02-20 1096
简单的HOOK OpenProcess函数、达到不让任务管理器使用OpenProcess来获取我们要保护进程的句柄、从而达到使任务管理器使用TerminateProcess无法结束该进程的目的、、、当我们HOOK到OpenProcess的时候、我们要在自己的MyOpenProcess中、判断一下、所打开的进程是否为我们要保护进程、如果是简单的返回错误码0、如果不是就在我们...
ssdt_hook NtOpenProcess
weixin_30520015的博客
09-21 114
获取ssdt表中所有函数的地址 for (int i = 0; i < KeServiceDescriptorTable->NumberOfServices; i++) { KdPrint(("NumberOfService[%d]-------%X\n", i, KeServiceDescriptorTable->ServiceTableBase[...
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 458
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
SSDT HOOK,通过hook NtOpenProcess达到保护制定进程效果
huangai93的专栏
06-07 877
SSDT hook技术是一种很老的技术了,但是作为新手还是有必要知道和学习的
SSDT的例子1-inlineHook的jmp验证
谢绝留言与私信
10-20 660
前言SSDT Hook后, 如果要跳过函数开始的一些opcode, 就只能跳到没有call语句之前的代码. 因为call有重定位问题,即使opcode一样,call的实际地址也是不同的.试验记录#include <Ntddk.h> #include <stdlib.h> #include <stdio.h>typedef char CHAR; typedef unsigned char BYTE;
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
最新发布
09-25
《驱动层Hook SSDT进程与驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
HOOK NtOpenProcess 保护指定进程
05-15
在IT安全领域,"HOOK NtOpenProcess 保护指定进程"是一种常见的技术手段,用于增强系统安全性,防止恶意软件或未经授权的程序访问或控制特定进程。这种方法主要涉及到系统调用钩子(System Call Hook)和内核驱动...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
例如,它可以监测并阻止试图关闭或修改受保护进程的行为。此外,通过hook关键的系统服务,如进程创建、线程注入等,可以防止恶意软件的入侵。 具体实施SSDT Hook时,通常需要以下步骤: 1. 获取SSDT的地址:这通常...
利用hook OpenProcess实现进程防杀的DLL源码
08-06
hook openprocess 实现进程防杀的DLL源码
SSDTHook实现进程保护
06-29
SSDTHook是一种技术,主要用于实现进程保护,它涉及到Windows操作系统内部的系统服务描述表(System Service Dispatch Table,简称SSDT)的hook机制。在Windows系统中,SSDT是内核模式下的一个关键数据结构,它存储...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
r0调用ntOpenprocess函数枚举进程
Sunny_wwc的专栏
02-07 4785
<br />需要先把Kthread中的PreviousMode的值置成KernelMode<br />因为调用CqEnumProcessInfoByMyOpenProcess这个函数的时候,是由应用层的程序调用DeviceIoControl进入内核的,所以要经过<br />Kifastcallentry,Kifastcallentry在执行中会把当前要进入内核的这个线程的PreviousMode设置成UserMode,所以当我调用NtOpenProcess时,NtOpenprocess在执行中会判断当前的调
SSDTSSDT hook技术
dr0op's blog
09-07 2164
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6379
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDTSSDT 的全称是 System Services Descriptor Table,系统服
HOOK ntopenprocess
qq_41071646的博客
01-06 1014
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值