介绍: SSDT InlineHook是在SSDT Hook 基础上来进一步Hook的,SSDTHook 是直接将SSDT表中的 Nt*函数替换成Fake函数,而SSDT Inline Hook是将原函数代码的前五个字节改变为 E9 _ _ _ _ ,后面跟的是Offset,也就是我们Fake函数的 ...
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html SSDT HOOK 框架设计思路 代码 3-4 1. 驱动中用户输入PID,通过一系列函数和遍历模块来确定对应的ntdll模块。 2. 在ntdll模块的导出表,通过 ...
分类:
其他好文 时间:
2020-04-12 16:57:26
阅读次数:
71
该代码利用微软提供的注册表回调函数CmRegisterCallback, 无需任何SSDT hook 不仅能够进行注册表监控,还可以拦截。 驱动完整代码如下: #define NTDDI_WINXPSP2 0x05010200 #define OSVERSION_MASK 0xFFFF0000 #d... ...
分类:
其他好文 时间:
2017-10-20 20:16:27
阅读次数:
203
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读 ...
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. 获取上面的结构的地址的代码; 遍历所有Native API 地址: 测试结果: wi ...
进程隐藏与进程保护(SSDT Hook 实现)(二) 文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结: 1 ...
分类:
系统相关 时间:
2016-05-10 11:03:20
阅读次数:
610
进程隐藏与进程保护(SSDT Hook 实现)(三) 文章目录: 1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结: 1. 引子: 关于这个 SSDT Hook 实现进程隐藏和进程保护呢,这是最后一篇博文了, 在文章 ...
分类:
系统相关 时间:
2016-05-10 11:00:09
阅读次数:
299
GHOST远控是比较有名也比较老的一个远控程序了,原版的ghost远控似乎有一个SSDT HOOK功能的模块,当然已经没有什么用处了。这里在GHOST的基础上添加一些ROOTKIT功能,而且随着x64下PG的发展,这里不打算使用传统的HOOK技术,而是用系统回调机制来实现一些功能,其实这些回调机制也
分类:
其他好文 时间:
2016-03-02 01:38:23
阅读次数:
380
原帖关于SSDT HOOK取消内存写保护的问题有些人说不去掉也不会蓝屏,照样能HOOK成功确实,我当时也是这样过。。。不过拿给别人机器一测试就蓝了网上找到了MJ给出的答案:当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可写的,这种情况下直接改是没有问题的HKEY_LOCAL_MAC...
分类:
其他好文 时间:
2015-07-17 13:46:17
阅读次数:
238
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。
我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如:
http://bbs.pediy.com/showthread.php?t=126802
http://bbs.pediy.com/sh...
分类:
其他好文 时间:
2015-07-04 15:39:34
阅读次数:
146
