SSDT HOOK的框架

最新推荐文章于 2019-10-18 17:40:58 发布
最新推荐文章于 2019-10-18 17:40:58 发布
阅读量886 收藏
点赞数
分类专栏: windows内核 文章标签: hook 框架 function manager object null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z6470975/article/details/7609663
版权 


#include <ntddk.h>
#include "HookManager.h"

VOID UnloadDriver(PDRIVER_OBJECT Driver)
{
	KdPrint(("Unload Driver!\n"));
	if (NewSystemCallTable)
	{
		//此处UN_HOOK

		MmUnmapLockedPages(NewSystemCallTable,KernelMode);
		IoFreeMdl(pMyMdl);
	}
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver,PUNICODE_STRING pRegeditPath)
{
	ULONG MajorVersion;
	ULONG MinorVersion;

	pDriver->DriverUnload = UnloadDriver;

	PsGetVersion(&MajorVersion,&MinorVersion,NULL,NULL);
	if (MajorVersion == 5 && MinorVersion == 2)
	{
		KdPrint(("win2003\n"));
	}
	else if (MajorVersion == 5 && MinorVersion == 1)
	{
		KdPrint(("winXP\n"));
	}
	else if (MajorVersion == 6 && MajorVersion == 0)
	{
		KdPrint(("Win Vista\n"));
	}
	else if (MajorVersion == 6 && MajorVersion == 1)
	{
		KdPrint(("Win 7\n"));
	}
	else
	{
		KdPrint(("Unknown. "));
	}

	if (!NT_SUCCESS(Hook()))
	{
		KdPrint(("Hook fail!\n"));
		return STATUS_UNSUCCESSFUL;
	}

	return STATUS_SUCCESS;
}


#ifndef _HOOK_MANAGER_H_
#define _HOOK_MANAGER_H_

#pragma pack(1)
typedef struct _ServiceDescriptorEntry
{
	unsigned int *ServiceTableBase;
	unsigned int *ServiceCounterTableBase;
	unsigned int NumberOfService;
	unsigned char *ParamTableBase;
}ServiceDescriptorEntry,*PServiceDescriptorEntry;
#pragma pack()

ServiceDescriptorEntry KeServiceDescriptorTable;

extern PVOID *NewSystemCallTable;
extern PMDL pMyMdl;

#define HOOK_INDEX(function2hook) *(PULONG)((PCHAR)function2hook+1)
#define HOOK(functionName,newPointer2Function,oldPointer2Function) oldPointer2Function=(PVOID)InterlockedExchange((PLONG)&NewSystemCallTable[HOOK_INDEX(functionName)],(LONG)newPointer2Function)
#define UN_HOOK(functionName,oldPointer2Function) (InterlockedExchange((PLONG)&NewSystemCallTable[HOOK_INDEX(functionName)],(LONG)oldPointer2Function))

NTSTATUS Hook();

#endif

#include <ntddk.h>
#include "HookManager.h"

NTSTATUS Hook()
{
	pMyMdl = MmCreateMdl(NULL,KeServiceDescriptorTable.ServiceCounterTableBase,KeServiceDescriptorTable.NumberOfService * 4);
	if (!pMyMdl)
	{
		return STATUS_UNSUCCESSFUL;
	}
	MmBuildMdlForNonPagedPool(pMyMdl);
	pMyMdl->MdlFlags = pMyMdl->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
	NewSystemCallTable = MmMapLockedPages(pMyMdl,KernelMode);
	if (!NewSystemCallTable)
	{
		return STATUS_UNSUCCESSFUL;
	}
	//在此处加hook

	return STATUS_SUCCESS;
}


z6470975
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 429
SSDT——hook框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
SSDT
weixin_30809173的博客
05-26 114
SSDT(System Services Descriptor Table),系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 简介   通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关...
Python:PyHook3的HookManager内置属性以及相关函数
Chnyac的博客
04-24 2235
MouseAll = property(fset=SubscribeMouseAll) MouseAllButtons = property(fset=SubscribeMouseAllButtons) MouseAllButtonsUp = property(fset=SubscribeMouseAllButtonsUp) MouseAllButtonsDown = proper...
使用Windows钩子HOOK拦截鼠标和键盘的操作,实现禁用键盘鼠标功能,监听键盘按键功能
CJ_WORLD的博客
10-18 3334
/*------------------------------以下为头文件声明-------------------------*/ #ifndef GLOBALHOOKMANAGER1_H #define GLOBALHOOKMANAGER1_H #include <windows.h> static HHOOK m_Mouse;//鼠标钩子句柄 static HHOOK m_K...
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6417
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...
SSDt HOOK源码
11-20
总的来说,SSDt HOOK源码的探索是一个深入学习数据库开发工具和.NET框架的好机会,对于提升数据库项目管理和开发的效率有着重要的作用。如果要深入研究,建议结合实际的项目需求,结合提供的源码和相关文档,逐步...
ssdthook进程保护
08-24
对学习驱动的朋友有帮助,同时实现了驱动和应用层之间的通信,实现进程保护,这个框架很好
开启了EPT的VT源码-支持win10x64
12-25
综上所述,这个源码实现了一个在Windows 10 x64环境下运行的虚拟化框架,利用VT硬件辅助虚拟化,配合EPT进行内存管理和SSDT无痕HOOK,以实现在不触发页面保护(PG)的情况下,高效、隐蔽地监控或控制系统服务。
进程隐藏与进程保护(SSDT Hook 实现)(二)
cmd1115的专栏
07-17 2146
Zachary.XiaoZhen - 梦想的天空 进程隐藏与进程保护(SSDT Hook 实现)(二) 文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列
x64技术之SSDT_Hook
Hades的博客
05-10 5591
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3151
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
SSDT Hook
zhuhuibeishadiao
04-10 3252
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
关于蓝屏错误IRQL_NOT_LESS_OR_EQUAL
热门推荐
02-03 1万+
有一个驱动出现很几率性的蓝屏,蓝屏错误提示IRQL_NOT_LESS_OR_EQUAL,错误码0xa。 0xa错误码一般都是访问非法内存所致,而IRQL_NOT_LESS_OR_EQUAL单从字面上面来看不难看出——在IRQL级别高的地方访问了分页内存。 在内核编程中,核心栈只有大概两个页的大小,所以DDK文档中特意标注出,内核中不宜使用递归调用。 通过ExAllocatePoolW
object hook
04-21 4646
object是什么东西?光从名字上面不难看出,对象。这篇是关于内核对象的hook,为什么要hook他呢,额,这个嘛。因人而异。 看雪上面有很详细的说明,本菜鸟算是抄袭过来而已。版权归看雪所有。 objectHook简单介绍 windbg截图为XP SP3系统。 _OBJECT_HEADER结构: typedef struct _OBJECT_HEADER
通过ZwQuerySystemInformation获取EPROCESS
04-19 4365
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。 typedef struct _SYSTEM
关于CF的TP禁止双机调试的一点记录
07-21 3050
周末忽然蛋疼,无聊想看看TP,然后手头只有CF这么一个TX的游戏,所以就有了这一点点记录。 禁止双机调试,基本是 KdDisableDebugger 这个内核API,首先看一下函数定义 NTSTATUS KdDisableDebugger(void); 因为参数木有,直接改ret   TesSafe+0x59dd:   b15479dd 75b0
遍历SSDT,检测是否被hook
04-03 2810
此方法只是遍历SSDT,判断是否在ntkrnlpa.exe模块里面。也就是寻找SSDT导出NT函数的原始地址。此方法不适合检测 inline Hook。 typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值