hook pte_简单HOOK SSDT实现文件防删除

最新推荐文章于 2021-10-07 01:28:16 发布
VIP文章 最新推荐文章于 2021-10-07 01:28:16 发布
阅读量427 收藏 1
点赞数
文章标签: hook pte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42121058/article/details/114504218
版权

被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。

OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:

DeleteFileA -> DeleteFileW -> ntdll.ZwSetInformationFile

ntdll.ZwSetInformationFile后就转到调用内核里的ZwSetInformationFile了,只要HOOK内核里的ZwSetInformationFile,然后比较一下文件名,与要保护的文件名相同时返回拒绝访问就行了。ZwSetInformationFile在SSDT里的服务号可以在函数地址+1的地方取出:

lkd> u nt!ZwSetInformationFile

nt!ZwSetInformationFile:

805013d4 b8e0000000      mov     eax,0E0h

805013d9 8d542404        lea     edx,[esp+4]

805013dd 9c              pushfd

805013de 6a08            push    8

下面是个驱动代码(cpp),加载后C:\StarsunYzL.txt文件将无法正常删除:

最低0.47元/天 解锁文章
火锅与理想
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
SSDT Hook nt!zwReadVirtualMemory 的完整代码
hook pte_PTE写作:SWT技巧教你如何写作9炸!
weixin_42502378的博客
01-17 353
回首两年前PTE的蜜月期,大量同学们都以轻松7炸努力拼一把就8炸而顺利通关,但随着PTE一年一年不断地完善更新,难度和题库都在发生着难以揣测的变化,解题技巧也已经从几年前机械的背PTE机经和单一练习口语流利度就能飙高分慢慢演变成一个更加严谨缜密的学术型考试。由于评分机制的高度保密性已经AI的不断更新与调试,现在的PTE已经不是同学们单纯背机经或者拿着两三年前的旧资料就可以应付得了的!所以对于每个题...
R0 下 FSD inline Hook 删除
Rootkit ﹏
09-02 923
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
hook pte_关于PTE写作短期上7炸的TIPS
weixin_39696197的博客
01-17 120
首先,作为研究雅思写作多年,且拥有自己版权的雅思写作题库的资深雅思写作老师(一顿自吹自擂哈哈哈哈哈哈),来好好给各位转考PTE的孩儿们说说PTE写作是如何的可爱哈哈哈哈。知其然知其所以然,让我们先从涉及写作部分的考题介绍及官方评分标准开始,请仔细看小视频哦!题型一:Summarize written text考试题型介绍-SWThttps://www.zhihu.com/video/1231232...
Linux 内核学习笔记
AI.PLAY
01-10 1万+
Linux内核学习笔记 《linux内核设计艺术》写的很好,对于理解操作系统的工作原理有很大帮助,以下是我在读这本书时所整理的一些框架,希望可以对读者理解linux操作系统的内核起到一定的作用,由于本人水平有限,不足之处,欢迎广大读者留言指正。 1.linnux启动 计算机在启动时,内存中是没有程序的,所以需要将硬盘中的操作系统加载到内存中,在内存(RAM)中什么程
页表HOOK
sanqiuai的博客
10-07 1125
hook一个内核函数,不修改API对应的物理页,而是把与API相关的物理页拷贝一份(PTE,PDE,PPE,PXE四个页),然后修改目标进程的页表映射到拷贝的物理页,使目标进程对此API的操作与其他进程分离,让对此API的hook不会影响到其他进程 结构体 enum { PhyPage, PT, PDT, PPT, PXT, }; typedef struct _PAGE_INFO { UINT64 PteBase;//页表基址 UINT32 PXE
[VT虚拟化驱动]利用EPT实现无痕HOOK
热门推荐
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
通过修改pte页表属性使内存可写
qq_42931917的博客
06-16 2742
通过修改pte页表属性使内存可写 一、相关API /* * Lookup the page table entry for a virtual address. Return a pointer * to the entry and the level of the mapping. * * Note: We return pud and pmd either when the entry is marked large * or when the present bit is not set.
文件保护HOOK
yonghengzhimi的专栏
09-15 352
////////////////////////////////////////////////// // HookTermProLib.cpp文件 #include <windows.h> #include "APIHook.h" extern CAPIHook g_TerminateProcess; BOOL WINAPI myDeleteFileA(LPCSTR lpFileName) { int i=1; char num='0'; char FNFromINI[1024]...
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
09-19
1。获取ssdt函数个数 2。获取ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址和ssdt表中的索引,修改ssdt表。
ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt
09-22
SSDT Table Viewr, Detecting SSDT HOoks .
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT HOOK引擎,调用HookService()之前应该先调用InitServicesTalbe()来对SSDT进行一次性的保存,避免后面多次HOOK就要保存多次 !
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
一个可以导出、写入SSDT表的驱动。链接名称:L"SSDT" 支持I/O操作:GET_HOOK,SET_HOOK,GET_PROC,SET_PROC
hook pte_Linux 模块编程和syscall hook技术
weixin_42498108的博客
01-17 296
编写Linux Module基础知识Modules是可以自由装载进内核(从内核卸载)的一块代码,不用重启系统就能扩展内核功能。设备驱动是一种module本文所说的Linux Module是External Modules, out-of-tree kernel module, Loadable kernel module(LKM).应用编程和内核编程对比Item应用编程内核编程使用函数glibc(...
hook pte_Linux下Hook方式汇总
weixin_36324426的博客
01-17 168
main代码为了得到存放shellcode的地址,我们需要先执行mmap,而执行mmap也需要一段可执行地址。这里其实我们可以直接使用libc_base。在libc_base处写入下面的opcode,其中int 0x3是为了发出信号,让我们知道该opcode执行完成。call raxint 0x3;"\xff\xd0\xcd\x03"实现mmap调用备份数据,写入opcode,设置mmap参数//...
Copy-On-Write机制,全局hook(二)
井底之蛙
09-29 4171
如果仔细阅读前一篇文章的话,就知道只要PTE的write(bit 1)位置1,就废掉了Copy-On-Write机制(解释一下,因为不可能产生异常了嘛),为了不影响系统的运行,我找了ntdll的文件头(7c800000)做实验: !process 0 0 . PROCESS 811ae9e0 SessionId: 0 Cid: 015c Peb: 7ffde000 ParentCid: 036c DirBase: 0997f000 ObjectTable: e15114
首创!用户级权限进程杀 C++
Hnnnbhnnnb的博客
08-11 1113
用户级权限实现简单杀 用户级权限实现简单杀 无意中翻出小学时候写的程序,拿出来分享下。这个程序运行不需要任何权限,应该是为数不多的能抗住PChunter强制结束的用户级程序(除了双进程)。程序只有一个主程序,主程序通常情况下杀不掉,被保护的程序只要不在运行则创建一个进程。写的比较仓促还有很多不足,分享一下思路而已,利用获取进程句柄和结束进程之间的时差“更换”自己的pid和句柄来让对方只能找到上...
内核级驱动对抗Hook ZwSetInformationFile反删除技术
Floating Guy
04-13 2681
网络安全中的文件删除与保护一直都是大家谈论的焦点问题,针对如何保护磁盘上属于自己的专有文件,已经存在一些现成技术,比如信息隐藏技术。笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术,利用一些常见图片、视频等作为载体将文件嵌入其中,达到掩人耳目的目的。这种方式如果在图像的鲁棒性、文件规则的健壮性、加密算法的有效性上能够很好的满足,是可以很好的实现文件的保护的。下面论述的是文件在没有隐藏的情况下,
c++中如何hook pthread_mutex_lock,实现std::mutex的加锁检测
最新发布
06-01
实现std::mutex的加锁检测,可以通过hook pthread_mutex_lock函数来实现。具体步骤如下: 1. 使用dlopen函数打开libc.so.6库,获取到pthread_mutex_lock函数的地址。 2. 使用dlsym函数获取到pthread_mutex_lock函数的原始实现函数地址,并保存起来。 3. 定义一个新的pthread_mutex_lock函数,该函数的实现中,先调用pthread_mutex_lock的原始实现函数,然后在其中加入加锁检测的代码。 4. 使用dlsym函数将新实现的pthread_mutex_lock函数地址赋值给pthread_mutex_lock函数的指针,从而实现hook。 下面是一个简单的示例代码: ```c++ #include <stdio.h> #include <dlfcn.h> #include <pthread.h> // 定义原始的pthread_mutex_lock函数指针 int (*orig_pthread_mutex_lock)(pthread_mutex_t *mutex); // 定义新的pthread_mutex_lock函数 int my_pthread_mutex_lock(pthread_mutex_t *mutex) { printf("mutex locked!\n"); // 调用原始的pthread_mutex_lock函数 return orig_pthread_mutex_lock(mutex); } // hook pthread_mutex_lock函数 void hook_pthread_mutex_lock() { // 打开libc.so.6库 void *handle = dlopen("libc.so.6", RTLD_LAZY); if (!handle) { printf("dlopen error: %s\n", dlerror()); return; } // 获取pthread_mutex_lock函数的地址 orig_pthread_mutex_lock = (int (*)(pthread_mutex_t *)) dlsym(handle, "pthread_mutex_lock"); if (!orig_pthread_mutex_lock) { printf("dlsym error: %s\n", dlerror()); return; } // 定义新的pthread_mutex_lock函数 int (*new_pthread_mutex_lock)(pthread_mutex_t *) = my_pthread_mutex_lock; // 覆盖pthread_mutex_lock函数指针 int ret = dladdr((void *) pthread_mutex_lock, NULL); if (ret) { *(void **) ((unsigned long) ret + 0x10) = (void *) new_pthread_mutex_lock; } dlclose(handle); } int main() { hook_pthread_mutex_lock(); pthread_mutex_t mutex; pthread_mutex_init(&mutex, NULL); pthread_mutex_lock(&mutex); printf("hello world!\n"); pthread_mutex_unlock(&mutex); pthread_mutex_destroy(&mutex); return 0; } ``` 上述代码中,我们使用dlopen函数打开libc.so.6库,获取到pthread_mutex_lock函数的地址。然后使用dlsym函数获取该函数的原始实现函数地址,并保存起来。接着,我们定义了一个新的pthread_mutex_lock函数my_pthread_mutex_lock,该函数的实现中,先调用pthread_mutex_lock的原始实现函数,然后在其中加入加锁检测的代码。最后,我们使用dlsym函数将新实现的pthread_mutex_lock函数地址赋值给pthread_mutex_lock函数的指针,从而实现hook

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值