简单HOOK SSDT实现文件防删除

最新推荐文章于 2023-09-06 18:01:18 发布
最新推荐文章于 2023-09-06 18:01:18 发布
阅读量150 收藏 1
点赞数
原文链接:http://www.cnblogs.com/vcerror/p/4289223.html
版权
weixin_33913377
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook pte_简单HOOK SSDT实现文件删除
weixin_42121058的博客
02-23 443
被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:DeleteFileA -> DeleteFileW -> ntdll.ZwSetIn...
SSDT-hook进程隐藏和文件隐藏
11-30
Windows内核态SSDT-hook实现进程隐藏和文件隐藏,代码很规整,学习内核编程的好例子 -a good example of studying kernel programing or driver developing, SSDT hook
SSDT替换ZwSetInformationFile实现保护某文件不被删除
delbboy的专栏
03-31 1915
#include   typedef struct _SDT {   PULONG ServiceTableBase;   PULONG ServiceCounterTableBase;   ULONG NumberOfService;   PUCHAR ParamTableBase; }SDT, *PSDT;   typedef NTSTATUS (__stdcall
顽固文件删除工具1.20
09-01
PowerTool(顽固文件删除工具)主要功能: 1. 所有进程的枚举(包括内核中隐藏的进程) 2. 所有文件的枚举(包括内核中隐藏的文件) 3. 进程中所有模块的枚举(包括内核中隐藏的模块) 4. 进程的强制结束 5. 进程中...
XueTr专用版 Hook 过保
10-30
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、...
pchunter64位 v1.6已签名 支持win11 强大的内核工具,强效手动杀毒,强力删除文件,强力结束进程
08-15
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、...
XueTr使用手册 ( 附带程序文件) [免费版]
12-07
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、...
简易命令行XueTr
10-19
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、...
VB拦截windows删除文件(API HOOK
11-07
VB拦截Windows Explorer删除进程,内含API HOOK,源代码:倒霉蛋儿,程序有时候也会窗口勾挂失败!   勾住了SHFileOperation等函数,DLL用Delphi写的C会的太少,查了半天才知道原来explorer是用SHFileOperation删除文件,经过测试很稳定,没有出现崩溃的情况,由于只勾住了SHFileOperation函数,所以别的程序要是调用DeleteFile删除文件,拦截不到,要是想拦截DeleteFile自己接着写吧。      mod_Inject.bas类的注释摘录:   Dim MyAddr As Long ‘执行远程线程代码的起始地址。这里等于LoadLibraryA的地址   ‘dll文件路径   MyDllFileLength = LenB(StrConv(MyDllFileName, vbFromUnicode)) + 1    ‘这里把dll文件名从Unicode转换成Ansi,否则英文字母是2个字节。 _   顺便说一下,学过C的应该知道字符串要以/0标志结尾,所以dll文件名长度要加上1个字节存放Chr(0)   ‘得到进程的句柄   在目标进程中申请分配一块空白内存区域。内存的起始地址保存在MyDllFileBuffer中。 _   这块内存区域我们用来存放dll文件路径,并作为参数传递给LoadLibraryA。   在分配出来的内存区域中写入dll路径径。注意第二个参数传递的是MyDllFileBuffer的内容, _   而不是MyDllFileBuffer的内存地址?   If MyReturn = 0 Then Inject = False   MyAddr = GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA")   ‘得到LoadLibraryA函数的起始地址。他的参数就是我们刚才写入的dll路径。但是LoadLibraryA本身是不知道参数在哪里的。 _   接下来我们就用CreateRemoteThread函数告诉他参数放在哪里了? If MyAddr = 0 Then Inject = False   MyResult = CreateRemoteThread(ProcessHandle, 0, 0, MyAddr, MyDllFileBuffer, 0, 0)   好了,现在用CreateRemoteThread在目标进程创建一个线程,线程起始地址指向LoadLibraryA, _   参数就是MyDllFileBuffer中保存的dll路径?    If MyResult = 0 Then    Inject = False    Else    Inject = True    End If    ‘接下来你可以使用WaitForSingleObject等待线程执行完毕。 _    并用GetExitCodeThread得到线程的退出代码,用来判断时候正确执行了dll中的代码。    CloseHandle MyResult    CloseHandle ProcessHandle    ‘扫地工作   End Function
内核无HOOK文件删除
trents的专栏
03-07 2226
内核无HOOK文件删除,可以过冰刃,xuetr,easydelete 本来是打算写暴力删除文件的程序的,结果意外发现,只需要在内核发送irp打开一个文件,之后不关闭Object,就拒绝其他程序访问了,easydelete这个工具还是比较强的,不过也不能删除,关键是不挂钩任何函数,不修该系统内核,看属性的时候只能看到一个常规,其它的什么都看不到,当然了360(7.0)版本的
使用Minifilter过滤驱动保护文件
qq_18811919的博客
09-06 464
用于文件保护的过滤驱动,在红蓝对抗中可与EDR对抗。
Minifilter实现目录保护
lastsurvivor的专栏
10-11 2468
这次的任务是对web服务器进行目录保护,止增、删、改操作,我负责windows平台下的开发。经过半个月的摸索和各位大牛的帮助,已经实现了功能。以下是最近学习win内核的经验:            程序流程很简单,按照Minifilter框架,填写预操作回调函数。 所有IRP
微过滤驱动实现保护特定程序
qq_45844442的博客
07-14 332
minifiter驱动,实现对特定的文件进行保护,止打开、删除、修改属性等。三环程序C语言实现Minifilter动态安装与卸载。1.首先链接器的附加依赖项中导入。原型如下,其中第二参数是最重要的。
文件隐藏技术(二)
anhkgg的专栏
05-21 2258
SSDT HOOK实现文件保护 nokyo.blogbus.com   很久没写点什么了,最近在忙着做一些零碎的程序,过一段儿时间一定放新东西。   现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计,考虑再三还是使用SSDT HOOK,因为这个最简单,而且比较稳定,也容易理解。   提到文件保护,无非就是文件隐藏、文件打开、读写、删除保护等。   一、文件隐藏   文件
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在...以上代码是一个简单的Vt hook ssdt的示例,通过调用`HookServiceCall`函数可以将指定的系统服务地址替换为新的地址,通过调用`UnhookServiceCall`函数可以恢复原始的系统服务地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值