SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。
这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的,比如ReadFile,就会进入ntdll的ZwReadFile
SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它...
分类:
其他好文 时间:
2015-06-25 14:11:18
阅读次数:
286
r3下的inline Hook 在r0下的实现。
过ssdt保护检测。...
分类:
其他好文 时间:
2015-05-14 23:58:08
阅读次数:
352
SSDT Hook实现内核级的进程保护目录SSDT Hook效果图SSDT简介SSDT结构SSDT HOOK原理Hook前准备如何获得SSDT中函数的地址呢SSDT Hook流程SSDT Hook实现进程保护Ring3与Ring0的通信如何安装启动停止卸载服务参考文献源码附件版权SSDT Hook效...
分类:
其他好文 时间:
2014-12-19 01:51:42
阅读次数:
270
目录SSDT Hook效果图SSDT简介SSDT结构SSDT HOOK原理Hook前准备如何获得SSDT中函数的地址呢SSDT Hook流程SSDT Hook实现进程保护Ring3与Ring0的通信如何安装启动停止卸载服务参考文献源码附件版权SSDT Hook效果图加载驱动并成功Hook NtTer...
分类:
其他好文 时间:
2014-09-18 23:37:54
阅读次数:
232
文章目录:1. 引子 – Demo 实现效果:2. 进程隐藏与进程保护概念:3. SSDT Hook 框架搭建:4. Ring0 实现进程隐藏:5. Ring0 实现进程保护:6. 隐藏进程列表和保护进程列表的维护:7. 小结:1. 引子 – Demo 实现效果:上一篇《进程隐藏与进程保护(SSDT...
分类:
其他好文 时间:
2014-09-18 14:39:04
阅读次数:
478
读了这篇文章终于明白大致怎么回事了文章目录:1. 引子 – Hook 技术:2. SSDT 简介:3. 应用层调用 Win32 API 的完整执行流程:4. 详解 SSDT:5. SSDT Hook 原理:6. 小结:1. 引子 – Hook 技术:前面一篇博文呢介绍了代码的注入技术(远程线程实现)...
分类:
其他好文 时间:
2014-09-18 14:34:54
阅读次数:
292
除了标题中说到的两个exe文件之外,还有另外两个ntkrnlmp.exe和ntkrpamp.exe。因为我目前用到的只是标题中的两个。其中,我在网上搜索到的关于SSDT HOOK 的资料,举的例子,全是关于ntoskrnl.exe。而我在我自己的Win Xp系统电脑上用WINDBG查看,我的内核文件...
分类:
其他好文 时间:
2014-09-02 17:33:04
阅读次数:
159
