SSDT HOOK驱动开发(2):进程保护

最新推荐文章于 2023-06-06 08:32:24 发布
最新推荐文章于 2023-06-06 08:32:24 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: VC++神奇理论 操作系统

SSDT HOOK进程保护挂钩ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个是进程句柄,它指定了需要被结束的进程。

  1. #include<ntddk.h>  
  2.   
  3. typedef struct ServiceDescriptorEntry  {  
  4.     unsigned int *ServiceTableBase;          //指向系统服务程序的地址(SSDT)  
  5.     unsigned int *ServiceCounterTableBase;   //指向另一个索引表,该表包含了每个服务表项被调用的次数;不过这个值只在Checkd Build的内核中有效,在Free Build的内核中,这个值总为NULL  
  6.     unsigned int NumberOfServices;           //表示当前系统所支持的服务个数  
  7.     unsigned char *ParamTableBase;           //指向SSPT中的参数地址,它们都包含了NumberOfService这么多个数组单元  
  8. } ServiceDescriptorTableEntry , *PServiceDescriptorTableEntry;  
  9.   
  10. extern PServiceDescriptorTableEntry KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函数  
  11.   
  12. typedef NTSTATUS (*NTTERNIMATEPROCESS)(  
  13.     IN HANDLE ProcessHandle,  
  14.     IN NTSTATUS ExitStatus  
  15. ); //定义一个函数指针  
  16.   
  17. NTTERNIMATEPROCESS pRealNtTerminateAddr;  
  18.   
  19. ULONG RealServiceAddress;                //接受被hook的函数地址  
  20. CHAR *TerminateName = "Client.exe";      //这里就是我们的进程名  
  21. UCHAR *PsGetProcessImageFileName( IN PEPROCESS Process );  
  22.   
  23. BOOLEAN IsProtect(CHAR *temp)            //判断正在结束的进程是否是我们要保护的进程  
  24. {  
  25.     ULONG len = strcmp(TerminateName, temp);  
  26.     if(!len)  
  27.         return TRUE;  
  28.     return FALSE;  
  29. }  
  30.   
  31. NTSTATUS MyNtTerminateProcess(IN HANDLE ProcessHandle, IN NTSTATUS ExitStatus)//我们自己的NtTerminateProcess  
  32. {  
  33.     PEPROCESS process;  //接受通过ProcessHandle返回的进程  
  34.     NTSTATUS status;   
  35.     CHAR *pName;        //接受进程的进程名  
  36.       
  37.     status = ObReferenceObjectByHandle(ProcessHandle,  
  38.         FILE_READ_DATA,0,KernelMode,&process,NULL);    //获取进程  
  39.       
  40.     if(!NT_SUCCESS(status))   
  41.         return (NTSTATUS)(NTTERNIMATEPROCESS)pRealNtTerminateAddr(ProcessHandle, ExitStatus);  
  42.       
  43.     pName = (CHAR*)PsGetProcessImageFileName(process); //获取进程名  
  44.     if(IsProtect(pName)) //判断是否是我们要保护的进程,是则返回权限不足,否则调用原函数结束进程  
  45.     {  
  46.         if(process != PsGetCurrentProcess())  
  47.         {  
  48.             return STATUS_ACCESS_DENIED;  
  49.         }  
  50.     }  
  51.       
  52.     return (NTSTATUS)(NTTERNIMATEPROCESS)pRealNtTerminateAddr(ProcessHandle, ExitStatus);   
  53. }  
  54.   
  55. VOID Hook()  
  56. {  
  57.     ULONG Address;  
  58.     Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x101 * 4; // 2003 0x10A  
  59.     RealServiceAddress = *(ULONG*)Address;  
  60.     pRealNtTerminateAddr = (NTTERNIMATEPROCESS)RealServiceAddress;  
  61.     __asm{//去掉内存保护  
  62.         cli  
  63.             mov eax,cr0  
  64.             and eax,not 10000h  
  65.             mov cr0,eax  
  66.     }  
  67.     *((ULONG*)Address) = (ULONG)MyNtTerminateProcess; //替换为我们自己的NtTerminateProcess函数  
  68.     __asm{//恢复内存保护   
  69.         mov eax,cr0  
  70.             or eax,10000h  
  71.             mov cr0,eax  
  72.             sti  
  73.     }  
  74. }  
  75.   
  76. VOID Unhook()  
  77. {  
  78.     ULONG Address;  
  79.     Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x101 * 4; // 2003 0x10A  
  80.     __asm{  
  81.         cli  
  82.             mov eax,cr0  
  83.             and eax,not 10000h  
  84.             mov cr0,eax  
  85.     }  
  86.     *((ULONG*)Address) = (ULONG)RealServiceAddress;   
  87.     __asm{   
  88.         mov eax,cr0  
  89.             or eax,10000h  
  90.             mov cr0,eax  
  91.             sti  
  92.     }  
  93. }  
  94.   
  95. VOID OnUnload(IN PDRIVER_OBJECT DriverObject)  
  96. {  
  97.     DbgPrint("Unhooker unload!");  
  98.     Unhook();  
  99. }  
  100.   
  101. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)  
  102. {  
  103.     DriverObject->DriverUnload = OnUnload;  
  104.     DbgPrint("Unhooker load");  
  105.     Hook();  
  106.     return STATUS_SUCCESS;  
  107. }  
 

 


woshinia
关注
专栏目录
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8361
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
HOOK ZwTerminateProcess实现进程保护
chenhao1988的专栏
04-25 4455
近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus){ ULONG pid = 0; NTSTATUS status = 0; 
驱动程序保护进程(修改SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }
SSDT HookHookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 622
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
x64下进程保护HOOK
weixin_30399797的博客
07-24 604
目录 x64(32)下的进程保护回调. 一丶进程保护线程保护 1.简介以及原理 1.2 代码 1.3注意的问题 二丶丶回调函数写法 2.1 遇到的问题. 2.2 回调代码 ...
利用HOOK API做进程保护
bruce135lee的专栏
08-03 1810
其实就很简单,只是对TerminateProcess的HOOK,因为要阻止的不是本进程的,所以要用到全局钩子,也就是把他做成dll形式的! 首先,对前面的HOOK API进行封装CAPIHook:   [cpp] view plain copy /////////////////////////////////////////////////////////   // APIHook...
(API HOOK进程保护工具
07-14
运行本软件之后,选择启用保护 (本软件适用于32位系统) 功能: (进程保护) 1、在任务栏里面终止进程是无效的。 (注意:窗口的正常关闭仍然是可以的, 也可以适用命令参数 taskkill 来终止 程序的进程。) 2、防止一些外挂程序对进程的注入控制 3、防止OD,CE以及其他一些调试器对进程 的读取(不是全部噢,暂时我没发现而已) (系统保护) 1、禁止使用CMD 2、禁止使用regedit 3、禁止使用.reg文件 程序运行后点击隐藏,本软件将自动隐藏起来。 隐藏后按F12即可呼出窗口。 PS:本软件采用了API拦截的技术,所以杀毒软件 可能会误报病毒,请放心使用。 软件还在改进中。。。 作者:GhostHand 本人QQ:544980123 希望加我QQ一起交流技术
一个Hook API实现进程保护的实例
06-12
一个Hook API实现进程保护的实例,非常值得参考。
驱动开发:内核扫描SSDT挂钩状态
最新发布
CSDN
06-06 8171
在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址与起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动Hook SSDT:进程驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
SSDTHook技术解析:进程隐藏与保护
"进程隐藏与进程保护的技术探讨,主要聚焦于SSDTHook的实现方法" 在计算机编程领域,进程隐藏与进程保护是安全和逆向工程中的重要话题。本资源详细介绍了利用System Service Descriptor Table (SSDT) Hook来实现...
SSDTHook实现进程保护
06-29
SSDTHook是一种技术,主要用于实现进程保护,它涉及到Windows操作系统内部的系统服务描述表(System Service Dispatch Table,简称SSDT)的hook机制。在Windows系统中,SSDT是内核模式下的一个关键数据结构,它存储...
驱动笔记:SSDT HOOK实现进程保护
lionzl的专栏
08-27 1212
驱动笔记:SSDT HOOK实现进程保护 2009-02-19 10:30:47  www.hackbase.com  来源:7747.net  http://nokyo.blogbus.com/logs/35320995.html  SSDT HOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。根据常规的做法,我们应该挂钩ZwTerminateProcess函数,不过这个函数仅有两个参数,
ring0 ssdt hook sys驱动 得到进程全路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程全路径.zip
驱动HOOK SSDT函数(二)
weixin_34279246的博客
04-22 116
typedef struct _SSDT_HOOK_DATA{ PULONG pulAddress; //在SSDT表中要HOOK的位置 ULONG ulRealValue; //初始值 ULONG ulNewValue; //HO...
Rootkit之SSDT hook(通过CR0)
weixin_34128839的博客
08-17 100
CR0当中有一个写保护位,是保护内存不可写属性的,为了能够写入内核,只能把它的保护给咔嚓掉了,不过……如果做完了手脚但不还原写保护属性的话,极有可能会BOSD. /=====================================================================================// 5: //Name: VOID Disa...
进程隐藏与进程保护SSDT Hook 实现)
flyingleo1981的专栏
08-04 6709
进程隐藏与进程保护SSDT Hook 实现)(一) 文章目录:                   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT: 5. SSDHook 原理: 6. 小结:            1. 引子 – Hook 技术:      
进程隐藏与进程保护SSDT Hook 实现)(三)
weixin_34115824的博客
09-05 459
文章目录:                   1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结:                  1. 引子:                           关于这个 SSDT Hook 实现进程隐藏和进程保护呢,这是最后一篇博文了, 在文章的结...
[反调试&进程保护] 使用 hook 的方式保护自身进程
LYSM
04-16 1066
以下 HOOK 需要 全局: 函数名 作用 Hook 后 NtOpenThread 创建内核线程 防止调试器在内部创建线程 NtOpenProcess 打开进程 防止OD等调试工具在调试列表中看到 kiAttachProcess 附加调试进程 防止被附加 NtReadVirtualMemory 读取虚拟内存 防止自己进程被读内存(ReadProcessMemory) NtWriteVirtualMemory 写内存 防止内存被写 KdReceivePacket KDCOM
SSDT HOOK实现进程保护
qq_41490873的博客
04-25 243
SSDT HOOK是一个垃圾技术了,代码看看就好没什么值得研究的。 #include<ntddk.h> #include<ntstatus.h> typedef struct ServiceDescriptorEntry { PULONG ServiceTableBase; //函数表的基址 PULONG ServiceCounterTableBase; UL...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值