近期可能会有一个64位平台的驱动开发任务,找了些资料,对64位平台下的驱动开发略知一二了,好神奇。一。在64位系统下,有一项PatchGuard技术,它是微软为了防止自己的代码被Patch,进而影响系统的稳定性引入的,这项技术会检查以下内容有没有被恶意修改过:1- SSDT (System Serv...
分类:
其他好文 时间:
2015-01-15 23:32:53
阅读次数:
248
ssdt随便一个函数入口改90就蓝了-------------------------------------------------program Project2;uses Windows;(*原作者:不详。据说是逆的smss的代码。翻译:http://www.138soft.com,love....
为了安全起见,Windows XP及其以后的系统将一些重要的内存页设置为只读属性,这样就算有权力访问该表也不能随意对其修改,例如SSDT、IDT等。但这种方法很容易被绕过,我们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。 c....
分类:
其他好文 时间:
2014-12-21 23:21:11
阅读次数:
239
重载重点,其实就是自己实现一个山寨版的Windows PELoader ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。
所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续
HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
...
分类:
Windows程序 时间:
2014-12-19 22:08:21
阅读次数:
1115
SSDT Hook实现内核级的进程保护目录SSDT Hook效果图SSDT简介SSDT结构SSDT HOOK原理Hook前准备如何获得SSDT中函数的地址呢SSDT Hook流程SSDT Hook实现进程保护Ring3与Ring0的通信如何安装启动停止卸载服务参考文献源码附件版权SSDT Hook效...
分类:
其他好文 时间:
2014-12-19 01:51:42
阅读次数:
270
内核漏洞大多出没于ring3到ring0的交互中。从ring3进入ring0的通道,以及操作系统提供的API都有可能存在漏洞。例如:驱动程序中IoControl的处理函数,SSDT和ShadowSSDT中的系统服务函数(无论是否被hook都有可能存在漏洞),系统回调函数,内核钩子程序等。从漏洞数量来...
分类:
其他好文 时间:
2014-11-22 17:13:51
阅读次数:
213
介绍本文中我们会用SSDT把第一个SSIS项目转换为 SSIS 2012, 为什么要升级到2012? 你可能想使用SSIS 2012新的特性. 又或者想使用 SSIS 2012 Catalog. 想要使用 Catalog, 你的项目必须转为 Project Deployment Model 我们会在...
分类:
其他好文 时间:
2014-11-19 18:25:05
阅读次数:
224
1 通过kifastcallentry或者常规的SSDT 挂钩实现的弹窗2 文件过滤驱动引起弹窗!process 0 0 //列出所有进程.reload!process fffffa800a04b3a0 f //列出指定进程的所有的栈回溯!irp ...
分类:
数据库 时间:
2014-11-17 22:29:22
阅读次数:
309
//VS2005创建的工程,系统xp sp2
//++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
//stdafx.h文件
#ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or ...
分类:
其他好文 时间:
2014-11-13 14:43:34
阅读次数:
154
sys_call_table 这个东西,其实和 Windows 下的 SSDT 表,在功能上完全相同。前一阵子学Linux驱动,遇到了这个系统调用表,然后我就想到Windows的SSDT表,既然SSDT表都可以HOOK,系统调用表是不是也可以。然后,就开始HOOK了。首先,SSDT表,是微软自己导出...
分类:
其他好文 时间:
2014-10-14 15:33:18
阅读次数:
173
