SSDT HOOK驱动开发(2):进程保护

最新推荐文章于 2022-03-07 16:15:51 发布
最新推荐文章于 2022-03-07 16:15:51 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: VC++神奇理论 操作系统

SSDT HOOK进程保护挂钩ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个是进程句柄,它指定了需要被结束的进程。

  1. #include<ntddk.h>  
  2.   
  3. typedef struct ServiceDescriptorEntry  {  
  4.     unsigned int *ServiceTableBase;          //指向系统服务程序的地址(SSDT)  
  5.     unsigned int *ServiceCounterTableBase;   //指向另一个索引表,该表包含了每个服务表项被调用的次数;不过这个值只在Checkd Build的内核中有效,在Free Build的内核中,这个值总为NULL  
  6.     unsigned int NumberOfServices;           //表示当前系统所支持的服务个数  
  7.     unsigned char *ParamTableBase;           //指向SSPT中的参数地址,它们都包含了NumberOfService这么多个数组单元  
  8. } ServiceDescriptorTableEntry , *PServiceDescriptorTableEntry;  
  9.   
  10. extern PServiceDescriptorTableEntry KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函数  
  11.   
  12. typedef NTSTATUS (*NTTERNIMATEPROCESS)(  
  13.     IN HANDLE ProcessHandle,  
  14.     IN NTSTATUS ExitStatus  
  15. ); //定义一个函数指针  
  16.   
  17. NTTERNIMATEPROCESS pRealNtTerminateAddr;  
  18.   
  19. ULONG RealServiceAddress;                //接受被hook的函数地址  
  20. CHAR *TerminateName = "Client.exe";      //这里就是我们的进程名  
  21. UCHAR *PsGetProcessImageFileName( IN PEPROCESS Process );  
  22.   
  23. BOOLEAN IsProtect(CHAR *temp)            //判断正在结束的进程是否是我们要保护的进程  
  24. {  
  25.     ULONG len = strcmp(TerminateName, temp);  
  26.     if(!len)  
  27.         return TRUE;  
  28.     return FALSE;  
  29. }  
  30.   
  31. NTSTATUS MyNtTerminateProcess(IN HANDLE ProcessHandle, IN NTSTATUS ExitStatus)//我们自己的NtTerminateProcess  
  32. {  
  33.     PEPROCESS process;  //接受通过ProcessHandle返回的进程  
  34.     NTSTATUS status;   
  35.     CHAR *pName;        //接受进程的进程名  
  36.       
  37.     status = ObReferenceObjectByHandle(ProcessHandle,  
  38.         FILE_READ_DATA,0,KernelMode,&process,NULL);    //获取进程  
  39.       
  40.     if(!NT_SUCCESS(status))   
  41.         return (NTSTATUS)(NTTERNIMATEPROCESS)pRealNtTerminateAddr(ProcessHandle, ExitStatus);  
  42.       
  43.     pName = (CHAR*)PsGetProcessImageFileName(process); //获取进程名  
  44.     if(IsProtect(pName)) //判断是否是我们要保护的进程,是则返回权限不足,否则调用原函数结束进程  
  45.     {  
  46.         if(process != PsGetCurrentProcess())  
  47.         {  
  48.             return STATUS_ACCESS_DENIED;  
  49.         }  
  50.     }  
  51.       
  52.     return (NTSTATUS)(NTTERNIMATEPROCESS)pRealNtTerminateAddr(ProcessHandle, ExitStatus);   
  53. }  
  54.   
  55. VOID Hook()  
  56. {  
  57.     ULONG Address;  
  58.     Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x101 * 4; // 2003 0x10A  
  59.     RealServiceAddress = *(ULONG*)Address;  
  60.     pRealNtTerminateAddr = (NTTERNIMATEPROCESS)RealServiceAddress;  
  61.     __asm{//去掉内存保护  
  62.         cli  
  63.             mov eax,cr0  
  64.             and eax,not 10000h  
  65.             mov cr0,eax  
  66.     }  
  67.     *((ULONG*)Address) = (ULONG)MyNtTerminateProcess; //替换为我们自己的NtTerminateProcess函数  
  68.     __asm{//恢复内存保护   
  69.         mov eax,cr0  
  70.             or eax,10000h  
  71.             mov cr0,eax  
  72.             sti  
  73.     }  
  74. }  
  75.   
  76. VOID Unhook()  
  77. {  
  78.     ULONG Address;  
  79.     Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x101 * 4; // 2003 0x10A  
  80.     __asm{  
  81.         cli  
  82.             mov eax,cr0  
  83.             and eax,not 10000h  
  84.             mov cr0,eax  
  85.     }  
  86.     *((ULONG*)Address) = (ULONG)RealServiceAddress;   
  87.     __asm{   
  88.         mov eax,cr0  
  89.             or eax,10000h  
  90.             mov cr0,eax  
  91.             sti  
  92.     }  
  93. }  
  94.   
  95. VOID OnUnload(IN PDRIVER_OBJECT DriverObject)  
  96. {  
  97.     DbgPrint("Unhooker unload!");  
  98.     Unhook();  
  99. }  
  100.   
  101. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)  
  102. {  
  103.     DriverObject->DriverUnload = OnUnload;  
  104.     DbgPrint("Unhooker load");  
  105.     Hook();  
  106.     return STATUS_SUCCESS;  
  107. }  
 

 


woshinia
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
SSDT HookHookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 552
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
进程强杀探究
hongduilanjun的博客
03-07 1968
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
SSDT Hook
zhuhuibeishadiao
04-10 3228
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
HOOK ZwTerminateProcess实现进程保护
chenhao1988的专栏
04-25 4225
近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus){ ULONG pid = 0; NTSTATUS status = 0; 
HOOK SSDT,获取 SSDT 函数地址
LYSM
06-24 525
背景 我们要开始向大家演示 SSDT HOOK 的使用方式,帮助我们的程序实现隐藏或是监控等工作。我们之前也一直提到过,在 32 位系统上,要想实现隐藏或是监控的操作,大多数操作就是对 SSDT 函数各种 HOOK,可以是 SSDT HOOK,也可以是 Inline HOOK。但,这些通过对 SSDT 表内存修改而实现的操作,在 64 位系统上不再适用,因为 64 位系统的 Patch Guard 保护机制,把 SSDT 的内存作为重点保护对象,只要对 SSDT 的内存进行修改,都会触发 Patch Gua
ring0 ssdt hook sys驱动 得到进程全路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程全路径.zip
易语言SSDTHOOK驱动源码
01-14
易语言驱动开发OpenProcess SSTD HOOK驱动部分源码
ssdthook进程保护
08-24
对学习驱动的朋友有帮助,同时实现了驱动和应用层之间的通信,实现进程保护,这个框架很好
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
驱动程序保护进程(修改SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }
SSDT HOOK驱动保护原理
crkres9527
09-19 1312
A、初识内核进程相关结构  B、内核函数PsGetCurrentProcess  C、进程保护原理  D、实例测试 dd nt!KeServiceDescriptorTable NTSTATUS NtOpenProcess(   __out     PHANDLE ProcessHandle,   __in      ACCESS_MASK DesiredAccess,   __i...
进程隐藏与进程保护SSDT Hook 实现)
flyingleo1981的专栏
08-04 6567
进程隐藏与进程保护SSDT Hook 实现)(一) 文章目录:                   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT: 5. SSDHook 原理: 6. 小结:            1. 引子 – Hook 技术:      
vc++ hook 拦截自己进程指定的api函数_游戏辅助原理:过用户层HOOK 驱动SSDT HOOK (之进程保护篇)...
weixin_39726873的博客
11-28 311
一、进程自我保护HOOK windows 用户层api (用户层保护) 内核层api(驱动保护) 1:用户层hook(简单例子) Hook OpenProcess(....,....,DWORD dwProcessId) 拦截函数 DWORD MyOpenProcess(...,....,DWORD dwProcessId) { // MydwProcessId 被保护进程id If(dwP...
TerminateProcess进程
qq_32250025的博客
09-11 3054
今天又掉坑里了。用“TerminateProcess”杀某个控制台进程,结果进程杀死了,应用程序还停留在状态栏,任务管理器中的“进程”已找不到被杀死的进程,“应用程序”里还能看到。最后发现是“system("pause");”惹的祸,这个玩意起了一个系统进程。以后慎用。   bool KillProgress(const DWORD&amp; _dwId) { HANDLE hProc...
驱动HOOK SSDT函数(二)
weixin_34279246的博客
04-22 103
typedef struct _SSDT_HOOK_DATA{ PULONG pulAddress; //在SSDT表中要HOOK的位置 ULONG ulRealValue; //初始值 ULONG ulNewValue; //HO...
汇编与驱动-采用SSDT Hook NtOpenProcess保护进程
kingswb的博客
05-01 1325
标 题: 汇编与驱动-采用SSDT Hook NtOpenProcess保护进程 作 者: organic 时 间: 2012-07-09,21:05:47 链 接: http://bbs.pediy.com/showthread.php?t=153176 作为一个热爱汇编的人被迫使用C或者C++写驱动是一件很难受的事情,特别是在做一些邪恶的事情的时候,你总会发现汇编就是一只恶魔之手,
KeStackAttachProcess+ZwTerminateProcess结束进程的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 6369
某些ARK会用以下代码来结束进程,对于很多有进程保护的程序都很有效:  PsLookupProcessByProcessId(); KeStackAttachProcess(); ZwTerminateProcess(0,0); 注意ZwTerminateProcess函数的第一个参数,这是要结束进程的句柄。对于进程句柄来说,-1表示当前进程,而在这里为什么用0呢?我们来分析下
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3955
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值