hook pte_简单HOOK SSDT实现文件防删除

于 2021-02-23 16:51:18 发布
阅读量503 收藏 1
点赞数
文章标签: hook pte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42121058/article/details/114504218
版权
本文介绍了如何通过hook操作系统的SSDT(系统服务描述表)来阻止特定文件的删除。通过跟踪`DeleteFile` API的执行流程,hook `ZwSetInformationFile`内核函数,当尝试删除指定文件时返回`ACCESS DENIED`,以此实现文件保护。示例代码展示了在Windows XP上的实现,并提及这种方法对某些工具可能无效。
摘要由CSDN通过智能技术生成

被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。

OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:

DeleteFileA -> DeleteFileW -> ntdll.ZwSetInformationFile

ntdll.ZwSetInformationFile后就转到调用内核里的ZwSetInformationFile了,只要HOOK内核里的ZwSetInformationFile,然后比较一下文件名,与要保护的文件名相同时返回拒绝访问就行了。ZwSetInformationFile在SSDT里的服务号可以在函数地址+1的地方取出:

lkd> u nt!ZwSetInformationFile

nt!ZwSetInformationFile:

805013d4 b8e0000000      mov     eax,0E0h

805013d9 8d542404        lea     edx,[esp+4]

805013dd 9c              pushfd

805013de 6a08            push    8

下面是个驱动代码(cpp),加载后C:\StarsunYzL.txt文件将无法正常删除:

最低0.47元/天 解锁文章
火锅与理想
关注
R0 下 FSD inline Hook 删除
Rootkit ﹏
09-02 952
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
文件保护HOOK
yonghengzhimi的专栏
09-15 383
////////////////////////////////////////////////// // HookTermProLib.cpp文件 #include <windows.h> #include "APIHook.h" extern CAPIHook g_TerminateProcess; BOOL WINAPI myDeleteFileA(LPCSTR lpFileName) { int i=1; char num='0'; char FNFromINI[1024]...
用API HOOK实现禁止复制文件的功能
05-12
用API HOOK实现禁止复制文件
简单HOOK SSDT实现文件删除
weixin_33913377的博客
08-17 172
http://www.rosoo.net/a/201001/8347.html 转载于:https://www.cnblogs.com/vcerror/p/4289223.html
文件隐藏技术(二)
anhkgg的专栏
05-21 2344
SSDT HOOK实现文件保护 nokyo.blogbus.com   很久没写点什么了,最近在忙着做一些零碎的程序,过一段儿时间一定放新东西。   现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计,考虑再三还是使用SSDT HOOK,因为这个最简单,而且比较稳定,也容易理解。   提到文件保护,无非就是文件隐藏、文件打开、读写、删除保护等。   一、文件隐藏   文件
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在本压缩包中,"SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook" 提到了几个关键概念,包括SSDT Hook、nt!zwReadVirtualMemory以及相关的hook技术。 1. SSDT Hook:这是一种技术,用于修改SSDT中的函数指针,以便...
ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt
09-22
标签“ssdt_delphi”,“ssdt-hook_delphi”,“table”,“delphi_ssdt”,“ssdt”进一步强调了这个项目的核心内容:Delphi实现SSDT挂钩和表格操作。这表明压缩包中的代码或工具可能涉及如何创建一个能够显示...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
1. **ssdt_hook.rar**:这是一个压缩包文件,可能包含了关于SSDT Hook的相关代码和资源。 2. **ssdt**:这是SSDT的缩写,表示我们要讨论的是与系统服务描述表相关的技术。 3. **ssdt hook**:表示这个压缩包是关于...
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
09-19
1。获取ssdt函数个数 2。获取ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址和ssdt表中的索引,修改ssdt表。
VB拦截windows删除文件(API HOOK
11-07
VB拦截Windows Explorer删除进程,内含API HOOK,源代码:倒霉蛋儿,程序有时候也会窗口勾挂失败!   勾住了SHFileOperation等函数,DLL用Delphi写的C会的太少,查了半天才知道原来explorer是用SHFileOperation删除文件,经过测试很稳定,没有出现崩溃的情况,由于只勾住了SHFileOperation函数,所以别的程序要是调用DeleteFile删除文件,拦截不到,要是想拦截DeleteFile自己接着写吧。      mod_Inject.bas类的注释摘录:   Dim MyAddr As Long ‘执行远程线程代码的起始地址。这里等于LoadLibraryA的地址   ‘dll文件路径   MyDllFileLength = LenB(StrConv(MyDllFileName, vbFromUnicode)) + 1    ‘这里把dll文件名从Unicode转换成Ansi,否则英文字母是2个字节。 _   顺便说一下,学过C的应该知道字符串要以/0标志结尾,所以dll文件名长度要加上1个字节存放Chr(0)   ‘得到进程的句柄   在目标进程中申请分配一块空白内存区域。内存的起始地址保存在MyDllFileBuffer中。 _   这块内存区域我们用来存放dll文件路径,并作为参数传递给LoadLibraryA。   在分配出来的内存区域中写入dll路径径。注意第二个参数传递的是MyDllFileBuffer的内容, _   而不是MyDllFileBuffer的内存地址?   If MyReturn = 0 Then Inject = False   MyAddr = GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA")   ‘得到LoadLibraryA函数的起始地址。他的参数就是我们刚才写入的dll路径。但是LoadLibraryA本身是不知道参数在哪里的。 _   接下来我们就用CreateRemoteThread函数告诉他参数放在哪里了? If MyAddr = 0 Then Inject = False   MyResult = CreateRemoteThread(ProcessHandle, 0, 0, MyAddr, MyDllFileBuffer, 0, 0)   好了,现在用CreateRemoteThread在目标进程创建一个线程,线程起始地址指向LoadLibraryA, _   参数就是MyDllFileBuffer中保存的dll路径?    If MyResult = 0 Then    Inject = False    Else    Inject = True    End If    ‘接下来你可以使用WaitForSingleObject等待线程执行完毕。 _    并用GetExitCodeThread得到线程的退出代码,用来判断时候正确执行了dll中的代码。    CloseHandle MyResult    CloseHandle ProcessHandle    ‘扫地工作   End Function
hook pte_Linux 模块编程和syscall hook技术
weixin_42498108的博客
01-17 337
编写Linux Module基础知识Modules是可以自由装载进内核(从内核卸载)的一块代码,不用重启系统就能扩展内核功能。设备驱动是一种module本文所说的Linux Module是External Modules, out-of-tree kernel module, Loadable kernel module(LKM).应用编程和内核编程对比Item应用编程内核编程使用函数glibc(...
Linux 内核学习笔记
热门推荐
AI.PLAY
01-10 1万+
Linux内核学习笔记 《linux内核设计艺术》写的很好,对于理解操作系统的工作原理有很大帮助,以下是我在读这本书时所整理的一些框架,希望可以对读者理解linux操作系统的内核起到一定的作用,由于本人水平有限,不足之处,欢迎广大读者留言指正。 1.linnux启动 计算机在启动时,内存中是没有程序的,所以需要将硬盘中的操作系统加载到内存中,在内存(RAM)中什么程
hook pte_Linux下Hook方式汇总
weixin_36324426的博客
01-17 195
main代码为了得到存放shellcode的地址,我们需要先执行mmap,而执行mmap也需要一段可执行地址。这里其实我们可以直接使用libc_base。在libc_base处写入下面的opcode,其中int 0x3是为了发出信号,让我们知道该opcode执行完成。call raxint 0x3;"\xff\xd0\xcd\x03"实现mmap调用备份数据,写入opcode,设置mmap参数//...
R3 HOOK NtDeleteFile 做文件保护
weixin_33885253的博客
11-30 297
2019独角兽企业重金招聘Python工程师标准>>> ...
R3 HOOK NtDeleteFile 删除文件
weixin_34148340的博客
11-30 616
2019独角兽企业重金招聘Python工程师标准>>> ...
hook pte_PTE写作:SWT技巧教你如何写作9炸!
weixin_42502378的博客
01-17 399
回首两年前PTE的蜜月期,大量同学们都以轻松7炸努力拼一把就8炸而顺利通关,但随着PTE一年一年不断地完善更新,难度和题库都在发生着难以揣测的变化,解题技巧也已经从几年前机械的背PTE机经和单一练习口语流利度就能飙高分慢慢演变成一个更加严谨缜密的学术型考试。由于评分机制的高度保密性已经AI的不断更新与调试,现在的PTE已经不是同学们单纯背机经或者拿着两三年前的旧资料就可以应付得了的!所以对于每个题...
SSDT_Hook技术实现注册表安全
"SSDT_Hook实现注册表保护" 在计算机安全领域,保护用户数据免受病毒、木马、黑客程序等恶意软件的侵害是至关重要的。注册表作为Windows操作系统中的核心组件,存储了大量的系统配置信息,也是许多恶意程序自我启动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值