2. 程式人生 > >win下SSDT-Hook

win下SSDT-Hook

阿新 發佈:2018-06-23
inf fff ESS api tpi asm .com urn number

技術分享圖片

#include <ntifs.h>
#pragma pack(1)

//SSDTHook中,我們有2個關鍵問題:
//1 怎麽找到SSDT,這個表是導出的,所以直接聲明就可以
//2 SSDT是只讀的,怎麽改
//  2.1 通過修改CR0 去掉內核層的頁保護
//  2.2 可以通過MDL重映射的方式,去修改。

typedef struct _ServiceDesriptorEntry
{
    ULONG *ServiceTableBase;        // 服務表基址
    ULONG *ServiceCounterTableBase; // 計數表基址
    ULONG NumberOfServices;         // 表中項的個數
    UCHAR *ParamTableBase;          // 參數表基址
}SSDTEntry, *PSSDTEntry;
#pragma pack()
ULONG         g_uProtectPID;
// 導入SSDT
NTSYSAPI SSDTEntry KeServiceDescriptorTable;

VOID DriverUnload(PDRIVER_OBJECT pDriver);

typedef NTSTATUS(NTAPI *NTOPENPROCESS)(__out PHANDLE  ProcessHandle,
    __in ACCESS_MASK  DesiredAccess,
    __in POBJECT_ATTRIBUTES  ObjectAttributes,
    __in_opt PCLIENT_ID  ClientId
    );

NTOPENPROCESS g_OldOpenProcess = NULL;

NTSTATUS NTAPI MyNtOpenProcess(__out PHANDLE  ProcessHandle,
    __in ACCESS_MASK  DesiredAccess,
    __in POBJECT_ATTRIBUTES  ObjectAttributes,
    __in_opt PCLIENT_ID  ClientId
)
{
    if ((ULONG)ClientId->UniqueProcess == g_uProtectPID)
    {
        return STATUS_ABANDONED;
    }
    return  g_OldOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
}

void InitInfo()
{
    g_uProtectPID = 2772;
    g_OldOpenProcess = (NTOPENPROCESS) KeServiceDescriptorTable.ServiceTableBase[0xBE];

}
void OffProtect()
{
    __asm { //關閉內存保護
        push eax;
        mov eax, cr0;
        and eax, ~0x10000;
        mov cr0, eax;
        pop eax;
    }

}
void OnProtect()
{
    __asm { //恢復內存保護
        push eax;
        mov eax, cr0;
        or eax, 0x10000;
        mov cr0, eax;
        pop eax;
    }

}

void OnHook()
{
    //關掉頁保護
    OffProtect();
    KeServiceDescriptorTable.ServiceTableBase[0xBE] = (ULONG)MyNtOpenProcess;
    //開啟頁保護
    OnProtect();
}

void OffHook()
{
    //關掉頁保護
    OffProtect();
    KeServiceDescriptorTable.ServiceTableBase[0xBE] = (ULONG)g_OldOpenProcess;
    //開啟頁保護
    OnProtect();
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pPath)
{

    UNREFERENCED_PARAMETER(pPath);
    DbgBreakPoint();
    InitInfo();
    OnHook();
    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
    OffHook();
    UNREFERENCED_PARAMETER(pDriver);
}

win下SSDT-Hook

相關推薦

winSSDT-Hook

inf fff ESS api tpi asm .com urn number #include <ntifs.h> #pragma pack(1) //SSDTHook中,我們有2個關鍵問題: //1 怎麽找到SSDT,這個表是導出的,所以直接聲明就可以

win 64 SSDT HOOK

分享 ima img 應該 ror i++ 直接 nproc mage 以下內容參考黑客防線2012合訂本第294頁 其實沒什麽好說的,直接上代碼: ssdt的結構,和win32差不多,但是要註意這裏的指針類型不能用ULONG替代,如果要非要替代應該用ULONGLO

winSysEnter-hook

名稱 pro run ref point 進程pid cli IV 保護 #include <ntifs.h> VOID DriverUnload(PDRIVER_OBJECT pDriver); ULONG g_OldKiFastCallEntry = 0;

win如何查看那個網絡端口被那個應用程序使用

efault 命令行 tps 默認 ref cati ide roc .html 在運行裏面鍵入cmd打開命令行窗口。 在命令行窗口鍵入命令: netstat -ano 第一和第二列是自己網絡的端口和外網連接的端口,pid:(全稱Process I

win 安裝opencv for python

.py for 下載 tps down 檢查 .cn 如果 com 在安裝之前,先了解的事情 1、自己win系統是32還是64(不贅述) 2、安裝的python的版本 以我的為例: 好了 接下來可以去網站下載對應的opencv,地址是 https://pypi.py

win命令行獲取管理員權限

resource all user install 出現 mce window 令行 runas 在win下運行npm install安裝依賴出現錯誤: Error: EBUSY, resource busy or locked搜索錯誤信息後發現是由於沒有管理員權限,在ba

參考mudo logging寫的winlogging

run null include stderr trac efault cit assert c_str #pragma once #include <boost/noncopyable.hpp> #include <boost/scoped_pt

解決win無法ping通VM虛擬機CentOS系統的方法

可能 ifconfig linu 說我 退出 時也 win 原因 network 事情描述:公司遷新址,電腦帶過去之後,用xshell連接vm的centos系統老是連接失敗,然後考慮到公司遷新址這個情況,我首先懷疑是ip的問題,然後在vm中執行ifconfig找到cento

win使用VM虛擬機安裝Linux系統

安裝docker 安裝 install passwd 下載 server openssh 自己的 安裝vm-tool 自己電腦上還是有個自己的虛擬機比較方便,之前用的Ubuntu,發現卡得不行。 現在裝了個輕量級的Lubuntu,速度提升了不少。 1.下載Lubuntu,安

win打包成tar.gz

大小 具體步驟 rar ext 選擇 blank tar.gz best lin tar.gz 是linux和unix下面比較常用的格式,幾個命令就可以把文件壓縮打包成tar.gz格式,然而這種格式在windows並不多見,WinRAR、WinZip等主流壓縮工具可以釋放解

win搭建python3+PyQt5+eric6環境

blog net don file appdata python3 一個 http source 一、安裝python3 1.下載python3的安裝包,默認安裝即可,註意勾選 Add Python 3.6 to Path 。但是這樣默認安裝的路徑太長,不太方便找到,可選擇

anaconda在win和在mac的安裝區別

post navi anaconda 使用 blog pos avi pip 不能 1. 在win下安裝anaconda後會提示你選擇環境變量,但是建議使用默認。 於是CMD進入終端和使用navigator進入終端不一樣,前者會提示無此命令,只能通過navigato

搜索過濾grep(win為findstr)

參數 單個字符 區分 ont test 文件名 times 字符串 find 搜索過濾grep(win下為findstr) 1.主要參數     [options]主要參數:    -c:只輸出匹配行的計數。    -i:不區分大小寫    -h:查詢多文件時不顯示文件名。

winvs用c++與匯編混合編程環境配置

asmwin下vs用c++與匯編混合編程環境配置

分析系統調用(win)

ado return 直接 ont 控制 http expec i+1 drs 分析快速系統調用的位置 int main() { CreateFile( L"C:\\1.txt", FILE_ALL_ACCESS, N

win內核重載過保護

3.1 wke 偏移 ffffff exe images sizeof RM img 這裏以SSDT為例原理:程序要用到哪些模塊自己加載。但是修復重定位時。要以原來的模塊為基址 而 SSDT以新的為基址。這裏只過了openprocess的保護 #include <nt

修改winras/pppoe/l2tp等連接數限制

AS 查看 RR clas 2tp local win mac 限制 註冊表路徑,子項中查看MatchingDeviceId判斷協議類型 會有pptp/l2tp/pppoe等 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr

win git gui 使用教程

是否 遠程倉庫 檢測 bin cal alt 圖片 屬性 sta http://pan.baidu.com/s/1b8mC3s git安裝步驟 1.選擇下載的安裝包 2.安裝步驟省略,直接下一步即可。出現下面的圖片安裝成功 使用git

SSDT hook完整版

codes remove get its 要求 con follow unicode buffer 原理可以看:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114107 #include <ntdd

【XGBOOST】win安裝

我用的anaconda 首先用conda建立了一個新的環境,並且安裝了numpy等等資料分析包,然後嘗試安裝xgboost Anaconda cloud上的xgboost只有linux版本的,所以不能用conda在win上安裝xgboost,只能用pip,指令很簡單 pip instal