win下内核重载过保护

最新推荐文章于 2022-12-03 14:18:00 发布
最新推荐文章于 2022-12-03 14:18:00 发布
阅读量237 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://blog.51cto.com/haidragon/2132087
版权

这里以SSDT为例
原理:
程序要用到哪些模块自己加载。
局限性:
不可能完全重载。因为内核中很定有一些全局变量等。
因此这里修复重定位时以原来的模块为基址 ,而 SSDT以新的为基址。
win下内核重载过保护
这里只过了openprocess的保护

#include <ntifs.h>
#include <ntimage.h>

#pragma pack(1)
typedef struct _ServiceDesriptorEntry
{
    ULONG *ServiceTableBase;        // 服务表基址
    ULONG *ServiceCounterTableBase; // 计数表基址
    ULONG NumberOfServices;         // 表中项的个数
    UCHAR *ParamTableBase;          // 参数表基址
}SSDTEntry, *PSSDTEntry;
#pragma pack()
// 导入SSDT
NTSYSAPI SSDTEntry KeServiceDescriptorTable;

PSSDTEntry pNewSSDT;
PCHAR g_pHookpointer;
PCHAR g_pJmpPointer;
VOID DriverUnload(PDRIVER_OBJECT pDriver);
HANDLE KernelCreateFile(
    IN PUNICODE_STRING pstrFile,
    IN BOOLEAN         bIsDir);

ULONG64 KernelGetFileSize(IN HANDLE hfile);
ULONG64 KernelReadFile(
    IN  HANDLE         hfile,
    IN  PLARGE_INTEGER Offset,
    IN  ULONG          ulLength,
    OUT PVOID          pBuffer);
PVOID GetModuleBase(PDRIVER_OBJECT pDriver, PUNICODE_STRING pModuleName);

//读取内核文件到内存,并且将其展开
void GetReloadBuf(PUNICODE_STRING KerPath, PCHAR* pReloadBuf)
{
    LARGE_INTEGER Offset = { 0 };
    HANDLE hFile = KernelCreateFile(KerPath, FALSE);

    ULONG64 uSize = KernelGetFileSize(hFile);

    PCHAR pKernelBuf = ExAllocatePool(NonPagedPool, (SIZE_T)uSize);

    RtlZeroMemory(pKernelBuf, (SIZE_T)uSize);
    KernelReadFile(hFile, &Offset, (ULONG)uSize, pKernelBuf);
    //2 展开内核文件
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pKernelBuf;

    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + pKernelBuf);
    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNt);

    *pReloadBuf = ExAllocatePool(NonPagedPool, pNt->OptionalHeader.SizeOfImage);
    RtlZeroMemory(*pReloadBuf, pNt->OptionalHeader.SizeOfImage);
    //2.1 先拷贝PE头部
    RtlCopyMemory(*pReloadBuf, pKernelBuf, pNt->OptionalHeader.SizeOfHeaders);

    //2.2 再拷贝PE各个区段
    for (size_t i = 0; i < pNt->FileHeader.NumberOfSections; i++)
    {
        RtlCopyMemory(
            *pReloadBuf + pSection[i].VirtualAddress,
            pKernelBuf + pSection[i].PointerToRawData,
            pSection[i].SizeOfRawData
            );
    }
    ExFreePool(pKernelBuf);
}

void FixReloc(PCHAR OldKernelBase, PCHAR NewKernelBase)
{
    typedef struct _TYPEOFFSET
    {

        USHORT Offset : 12;
        USHORT type : 4;
    }TYPEOFFSET, *PTYPEOFFSET;
    //1 找到重定位表
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)NewKernelBase;

    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + NewKernelBase);

    PIMAGE_DATA_DIRECTORY pDir = (pNt->OptionalHeader.DataDirectory + 5);

    PIMAGE_BASE_RELOCATION pReloc = (PIMAGE_BASE_RELOCATION)
        (pDir->VirtualAddress + NewKernelBase);
    while (pReloc->SizeOfBlock != 0)
    {
        //2 寻找重定位的位置
        ULONG uCount = (pReloc->SizeOfBlock - 8) / 2;
        PCHAR pSartAddress = (pReloc->VirtualAddress + NewKernelBase);
        PTYPEOFFSET pOffset = (PTYPEOFFSET)(pReloc + 1);
        for (ULONG i = 0; i < uCount; i++)
        {
            if (pOffset->type == 3)
            {
                //3 开始重定位
                //NewBase-DefaultBase = NewReloc-DefaultReloc
                ULONG * pRelocAdd = (ULONG *)(pSartAddress + pOffset->Offset);
                *pRelocAdd += ((ULONG)OldKernelBase - pNt->OptionalHeader.ImageBase);
            }
            pOffset++;
        }

        pReloc = (PIMAGE_BASE_RELOCATION)((PCHAR)pReloc + pReloc->SizeOfBlock);
    }
}

void FixSSDT(PCHAR OldKernelBase, PCHAR NewKernelBase)
{
    //新内核中的某位置 - NewKernelBase = 老内核中的此位置 - OldKernelBase
    //新内核中的某位置  = NewKernelBase-OldKernelBase+老内核中的此位置
    ULONG uOffset = (ULONG)NewKernelBase - (ULONG)OldKernelBase;

    pNewSSDT =
        (PSSDTEntry)((PCHAR)&KeServiceDescriptorTable + uOffset);
    //填充SSDT函数数量
    pNewSSDT->NumberOfServices =
        KeServiceDescriptorTable.NumberOfServices;
    //填充SSDT函数地址表
    pNewSSDT->ServiceTableBase =
        (PULONG)((PCHAR)KeServiceDescriptorTable.ServiceTableBase + uOffset);
    for (ULONG i = 0; i < pNewSSDT->NumberOfServices; i++)
    {
        pNewSSDT->ServiceTableBase[i] = pNewSSDT->ServiceTableBase[i] + uOffset;
    }
    //填充SSDT参数表,表中一个元素占1个字节
    pNewSSDT->ParamTableBase =
        ((UCHAR*)KeServiceDescriptorTable.ParamTableBase + uOffset);

    memcpy(pNewSSDT->ParamTableBase, KeServiceDescriptorTable.ParamTableBase,
        KeServiceDescriptorTable.NumberOfServices);

    //填充SSDT调用次数表,表中一个元素占4个字节
    //pNewSSDT->ServiceCounterTableBase =
    //  (PULONG)((PCHAR)KeServiceDescriptorTable.ServiceCounterTableBase + uOffset);

    //memcpy(pNewSSDT->ServiceCounterTableBase, 
    //  KeServiceDescriptorTable.ServiceCounterTableBase,
    //  KeServiceDescriptorTable.NumberOfServices*4
    //  );

}

void * SearchMemory(char * buf, int BufLenth, char * Mem, int MaxLenth)
{
    int MemIndex = 0;
    int BufIndex = 0;
    for (MemIndex = 0; MemIndex < MaxLenth; MemIndex++)
    {
        BufIndex = 0;
        if (Mem[MemIndex] == buf[BufIndex] || buf[BufIndex] == '?')
        {
            int MemIndexTemp = MemIndex;
            do
            {
                MemIndexTemp++;
                BufIndex++;
            } while ((Mem[MemIndexTemp] == buf[BufIndex] || buf[BufIndex] == '?') && BufIndex < BufLenth);
            if (BufIndex == BufLenth)
            {
                return Mem + MemIndex;
            }
        }
    }
    return 0;
}

//RDMSR将64位由ECX寄存器指定的MSR(model specific register, 模式指定寄存器)
//的内容读出至寄存器EDX:EAX中(在支持intel64架构的处理器中RCX的高32位忽略)。
PVOID GetKiFastCallEntryAddr()
{
    PVOID pAddr = 0;
    _asm
    {
        push ecx;
        push eax;
        mov ecx, 0x176;
        rdmsr;               //0环的EIP
        mov pAddr, eax;
        pop eax;
        pop ecx;
    }
    return pAddr;
}
//WP位0:禁用写保护的功能
//
//WP位1:开启写保护的功能
//
//cr0的第16位是WP位,只要将这一位置0就可以禁用写保护,置1则可将其恢复。
void OffProtect()
{
    __asm { //关闭内存保护
        push eax;
        mov eax, cr0;
        and eax, ~0x10000;
        mov cr0, eax;
        pop eax;
    }

}
void OnProtect()
{
    __asm { //开启内存保护
        push eax;
        mov eax, cr0;
        OR eax, 0x10000;
        mov cr0, eax;
        pop eax;
    }
}
UCHAR CodeBuf[] = { 0x2b, 0xe1, 0xc1, 0xe9, 0x02 };
UCHAR NewCodeBuf[5] = { 0xE9 };

//获取openprocss函数
ULONG  FilterSSDT(ULONG uCallNum, PULONG FunBaseAddress, ULONG FunAdress)
{
    //说明这个调用是用的SSDT,而不是ShowSSDT KeServiceDescriptorTable也就是一个全局变量已经导出来了
    if (FunBaseAddress == KeServiceDescriptorTable.ServiceTableBase)
    {
        if (uCallNum == 190)
        {
            return pNewSSDT->ServiceTableBase[190];
        }
    }
    return FunAdress;
}

//hook点是他获取函数的相关指令处
//83e91871 8b1487          mov     edx, dword ptr[edi + eax * 4]              //重要 得到了函数地址   eax已经为索引号*4(4代表每个元素的大小)
//83e91874 2be1            sub     esp, ecx                                //栈顶抬高这么大,准备拷贝参数
//83e91876 c1e902          shr     ecx, 2
//83e91879 8bfc            mov     edi, esp
_declspec(naked) void MyFilterFunction()
{
    //5 在自己的Hook函数中判断走自己的内核还是原来的内核
    //eax 调用号
    //edi SSDT函数表地址
    //edx 里面是从SSDT表中获得的函数的地址
    _asm
    {
        pushad;
        pushfd;
        push edx;
        push edi;
        push eax;
        call FilterSSDT;
        mov dword ptr ds : [esp + 0x18], eax;
        popfd;
        popad;
        sub     esp, ecx;
        shr     ecx, 2;
        jmp g_pJmpPointer;  //指下原来的下一条指令继续执行
    }
}
void OnHookKiFastCall()
{
    //1 先得到KifastcallEntry的地址
    PVOID KiFastCallAdd = GetKiFastCallEntryAddr();
    //2 搜索2b e1 c1 e9 02
    g_pHookpointer = SearchMemory(CodeBuf, 5, KiFastCallAdd, 0x200);
    //3 找到这个位置之后,直接hook
    //3.1关闭页保护
    OffProtect();
    //3.2替换5个字节
    //先计算偏移
    *(ULONG*)(NewCodeBuf + 1) =
        ((ULONG)MyFilterFunction - (ULONG)g_pHookpointer - 5);
    //再换掉
    memcpy(g_pHookpointer, NewCodeBuf, 5);

    //3.3开启页保护
    OnProtect();
    //指下原来的下一条指令继续执行
    g_pJmpPointer = g_pHookpointer + 5;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pPath)
{
    UNREFERENCED_PARAMETER(pPath);
    DbgBreakPoint();
    PCHAR pNtModuleBase = NULL;
    UNICODE_STRING pNtModuleName;

    //1 找到内核文件,将其展开加载进内存
    PCHAR pReloadBuf = NULL;
    UNICODE_STRING KerPath;
    RtlInitUnicodeString(&KerPath, L"\\??\\C:\\windows\\system32\\ntkrnlpa.exe");

    GetReloadBuf(&KerPath, &pReloadBuf);
    //2 修复重定位ntoskrnl.exe
    RtlInitUnicodeString(&pNtModuleName, L"ntoskrnl.exe");
    pNtModuleBase = (PCHAR)GetModuleBase(pDriver, &pNtModuleName);
    FixReloc(pNtModuleBase, pReloadBuf);
    //3 修复自己的SSDT表
    FixSSDT(pNtModuleBase, pReloadBuf);
    //4 Hook KiFastCallEntry,拦截系统调用
    OnHookKiFastCall();
    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

HANDLE KernelCreateFile(
    IN PUNICODE_STRING pstrFile, // 文件路径符号链接
    IN BOOLEAN         bIsDir)   // 是否为文件夹
{
    HANDLE          hFile = NULL;
    NTSTATUS        Status = STATUS_UNSUCCESSFUL;
    IO_STATUS_BLOCK StatusBlock = { 0 };
    ULONG           ulShareAccess =
        FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE;
    ULONG           ulCreateOpt =
        FILE_SYNCHRONOUS_IO_NONALERT;
    // 1. 初始化OBJECT_ATTRIBUTES的内容
    OBJECT_ATTRIBUTES objAttrib = { 0 };
    ULONG             ulAttributes =
        OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE;
    InitializeObjectAttributes(
        &objAttrib,    // 返回初始化完毕的结构体
        pstrFile,      // 文件对象名称
        ulAttributes,  // 对象属性
        NULL, NULL);   // 一般为NULL
    // 2. 创建文件对象
    ulCreateOpt |= bIsDir ?
    FILE_DIRECTORY_FILE : FILE_NON_DIRECTORY_FILE;
    Status = ZwCreateFile(
        &hFile,                // 返回文件句柄
        GENERIC_ALL,           // 文件操作描述
        &objAttrib,            // OBJECT_ATTRIBUTES
        &StatusBlock,          // 接受函数的操作结果
        0,                     // 初始文件大小
        FILE_ATTRIBUTE_NORMAL, // 新建文件的属性
        ulShareAccess,         // 文件共享方式
        FILE_OPEN_IF,          // 文件存在则打开不存在则创建
        ulCreateOpt,           // 打开操作的附加标志位
        NULL,                  // 扩展属性区
        0);                   // 扩展属性区长度
    if (!NT_SUCCESS(Status))
        return (HANDLE)-1;
    return hFile;
}

ULONG64 KernelGetFileSize(IN HANDLE hfile)
{
    // 查询文件状态
    IO_STATUS_BLOCK           StatusBlock = { 0 };
    FILE_STANDARD_INFORMATION fsi = { 0 };
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    Status = ZwQueryInformationFile(
        hfile,        // 文件句柄
        &StatusBlock, // 接受函数的操作结果
        &fsi,         // 根据最后一个参数的类型输出相关信息
        sizeof(FILE_STANDARD_INFORMATION),
        FileStandardInformation);
    if (!NT_SUCCESS(Status))
        return 0;
    return fsi.EndOfFile.QuadPart;
}
ULONG64 KernelReadFile(
    IN  HANDLE         hfile,    // 文件句柄
    IN  PLARGE_INTEGER Offset,   // 从哪里开始读取
    IN  ULONG          ulLength, // 读取多少字节
    OUT PVOID          pBuffer)  // 保存数据的缓存
{
    // 1. 读取文件
    IO_STATUS_BLOCK StatusBlock = { 0 };
    NTSTATUS        Status = STATUS_UNSUCCESSFUL;
    Status = ZwReadFile(
        hfile,        // 文件句柄
        NULL,         // 信号状态(一般为NULL)
        NULL, NULL,   // 保留
        &StatusBlock, // 接受函数的操作结果
        pBuffer,      // 保存读取数据的缓存
        ulLength,     // 想要读取的长度
        Offset,       // 读取的起始偏移
        NULL);        // 一般为NULL
    if (!NT_SUCCESS(Status))  return 0;
    // 2. 返回实际读取的长度
    return StatusBlock.Information;
}

typedef struct _LDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;    //双向链表
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

PVOID GetModuleBase(PDRIVER_OBJECT pDriver, PUNICODE_STRING pModuleName)
{
    PLDR_DATA_TABLE_ENTRY pLdr =
        (PLDR_DATA_TABLE_ENTRY)pDriver->DriverSection;
    LIST_ENTRY *pTemp = &pLdr->InLoadOrderLinks;
    do
    {
        PLDR_DATA_TABLE_ENTRY pDriverInfo =
            (PLDR_DATA_TABLE_ENTRY)pTemp;
        KdPrint(("%wZ\n", &pDriverInfo->FullDllName));
        if (
            RtlCompareUnicodeString(pModuleName, &pDriverInfo->BaseDllName, FALSE)
            == 0)
        {
            return pDriverInfo->DllBase;
        }
        pTemp = pTemp->Blink;
    } while (pTemp != &pLdr->InLoadOrderLinks);
    return 0;
}

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
    UNREFERENCED_PARAMETER(pDriver);
}

转载于:https://blog.51cto.com/haidragon/2132087

weixin_34293902
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载内核重载后指定某个程序使用你重载内核,可以绕过原有内核上面的所有hook
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
01-27
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
重载内核全程分析笔记
热门推荐
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
10内核重载
weixin_30954607的博客
08-31 497
内核重载需求的产生在内核中有很多HOOK, 例如:KiFastCallEntry, SSDT,IDT,OBJECT HOOK,甚至是内核API的内联HOOK , 有些HOOK很容易找到,并还原, 有些HOOK就很难找到. 在某些时候(例如一个病毒HOOK了int3中断,这样调试器就无法得到断点事件),清除HOOK是一种反反调试的技术. 也是防护与反防护的技术. —总之内核层的对抗非常的激...
驱动-内核重载
chengtoreal的博客
03-13 476
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
win732位内核重载技术
01-16
Windows 7 32位内核重载技术详解》 在计算机科学领域,操作系统内核是系统的核心部分,负责管理系统的硬件资源和提供服务给上层的应用程序。Windows 7,作为微软的一款经典操作系统,其32位版本在很多用户和...
易语言-易语言驱动 过保护 内核重载 钩子扫描 DPC
06-25
重载内核 内核任意位置InlineHook的类 任何函数自动重定位 各种未导出函数的查找 内核调试结构KiDebugRoutine的欺骗和转向 IDT的枚举和恢复 GDT的枚举 IOTimer的枚举 使用 和 卸载 DCPTimer的枚举 内核InlineHook的...
MFC.rar_win32
09-14
描述中提到这是一个Win32 Application,这意味着这个项目是基于Windows操作系统内核的32位应用程序。Win32 API是Windows系统提供的编程接口,用于开发运行在32位Windows环境下的程序。它提供了大量的函数,用于创建...
Win32开发人员参考库 第4卷 Windows通用控件.rar
02-29
Win32开发人员参考库 第4卷 Windows通用控件》是针对Windows平台开发者的一份重要参考资料,尤其对于那些深入到Win32 API层面进行系统级编程的工程师来说,这是一本不可多得的宝典。Windows通用控件是Windows应用...
内核重载的认识
weixin_41725706的博客
12-03 343
内核重载得认识
windows xp内核重载
11-07
内核重载 内核重载源代码
重载内核实现绕过一切钩子-附详细文档
03-31
重载内核实现绕过一切钩子的驱动源代码-附详细文档 1:将内核文件映射到我内核空间去; 2:path KiFastCallEntry重定向
易语言驱动 过保护 内核重载 钩子扫描 DPC
06-03
我还是要解释下 SK 的作用:。比如我写了一个识图算法 识图之前我先要拿到窗口的图像 那么假如可以调用PrintWindow 但是我也可以调用SK的PrintWindow类似的函数达到系统函数的效果 SK的函数可以绕过所有Hook并且增加逆向分析的难度 。但是 要知道 你关键的核心代码 功能代码 是识图算法的 !!! 算法  !!! 并不是 你在SK调用的PrintWindow类似的函数。另外我本身很早很早 long long ago 用易语言很少了 所以慢慢来爆料。因为很少用E SK目前最新的都是C++版本 支持x86和x64全系统 另外因为内核驱动原因SK有SK的内核版本SKD 论坛那个人发的CPP代码就是用了内核版本的SK的SKD。另外 WonderWall是一直准备重写的 但是没时间 关于变量的支持 完整的单步调试等等其实早已都是分析完了 没有太多时间动工。近期可能完全重新动工 C++完全重写 还要看时间 毕竟要活着。再提个事情 重要的是解决方法和思路 WW没开源之前 论坛已经有其他汇编插件 并且就是逆向的WW的方法 没见别人没代码 也不能搞出来对吧?。另外 关于模块反编译问题
内核重载易语言源码(含C驱动源码).rar
01-25
内核重载易语言源码(含C驱动源码)
重载内核全程分析笔记(附源码)
08-28
重载内核全程分析笔记(附源码) 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
过游戏保护重载内核
u010416927的专栏
01-31 6232
原文链接:http://www.ghostasm.com/thread-1898-1-1.html     因为之前 代码与360冲突跟基址重定位出了点问题. 今天重新复习改进后 可以直接跳过360hook 与360 不冲突了.   注意事项 : 我用的OD是 自己有保护的,经过内核重载 CE就能打开OD了 没重载之前呢 是看不到OD进程的 不要跟360HOOK了一个点 要
win10驱动开发8——内核重载new/delete关键字
qq_41610493的博客
11-30 564
内部重载 new 和delete 关键字在驱动里面是不可以使用,通过重载的方式即可在内核中使用 #include <ntddk.h> class Myclass { public: Myclass() { KdPrint(("构造函数\n")); } ~Myclass() { KdPrint(("析构函数\n")); } void * _cdecl operator new (size_t size,POOL_TYPE poolType= PagedPool)
重载内核实现绕过一切钩子
weixin_30390075的博客
09-09 419
很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应数据,重定位后得到相对当前内核加载位置的正确调用地址。大部分的实现代码比较粗糙,因为要不停的在文件地址和内存地址之间进行转换,因此代码繁琐不易读懂。 我在考虑解放方案的时...
Windows驱动开发学习笔记(七)—— 多核同步&内核重载
qq_41988448的博客
12-17 1615
Windows驱动开发学习笔记(七)—— 多核同步之临界区前言基础知识并发与同步示例分析InterlockedIncrement原子操作相关API内核文件临界区错误的临界区正确的临界区自旋锁分析 KeAcquireSpinLockAtDpcLevel 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 并发:指多个线程在同时执行 ...
dbgplugin内核vt过驱动保护调试器
最新发布
12-06
dbgplugin是一种在内核级别...总之,dbgplugin是一项强大的内核级vt过驱动保护调试器,为驱动程序的开发和调试提供了重要的保护和支持,帮助开发人员确保其驱动程序在安全可靠的环境下运行,提高系统的稳定性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值