win 64 Shadow ssdt hook
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用 ...
原文:win 64 SSDT HOOK
以下内容参考黑客防线 合订本第 页 其实没什么好说的,直接上代码: ssdt的结构,和win 差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. 获取上面的结构的地址的代码 遍历所有Native API 地址: 测试结果: windbg查看的结果: 以ZwOpenProcess为例: ida中发现他的id是 x 也就是 对应 测试结果是 ...
2017-10-01 20:36 0 1334 推荐指数:
相关推荐
HOOK技术之SSDT hook(x86/x64)
x86 SSDT Hook 32位下进行SSDT Hook比较简单,通过修改SSDT表中需要hook的系统服务为自己的函数,在自己的函数中进行过滤判断达到hook的目的。 获取KeServiceDescriptorTable基地址 要想进行ssdt hook,首先需要获得SSDT表的基地 ...
Win10X64 获取SSDT、Shadow SSDT和内核函数地址--Windows内核学习记录
编译环境Windows10 X64 首先通过 msr = (PUCHAR)__readmsr(0xC0000082);获取内核函数入口地址, msr在开启内核隔离模式下获取到的是KiSystemCall64Shadow函数地址,在未开启内核隔离模式下获取到的是KiSystemCall64 ...
SSDT的hook浅析
***********关于hook********************************** 首先我们说下hook,什么是hook?hook的英文已经说明了,hook在英文中是钩的意思,计算机取其意叫钩子,而我的理解叫截! 大家应该写过r3下程序,估计也写过一些r3 ...
Windows 64位驱动编程基础与win64 ssdt
Win64编程 32位系统逐渐淘汰,转到64位编程相当重要. 但苦于64位驱动编程网上的资料比较杂乱 这里打算写写关于64位驱动编程的内容,当然大部分内容都是从网上搜集过来的,然后汇集到一起好用来学习. 准备 双机调试, 加载驱动 ...
SSDT Hook实现内核级的进程保护
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3与Ring0的通信 如何安装启动停止卸载服务 ...
进程隐藏与进程保护(SSDT Hook 实现)(二)
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结 ...
HOOK - 进程隐藏与进程保护(SSDT Hook 实现)(一)
进程隐藏与进程保护(SSDT Hook 实现)(一) 文章目录: 1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT ...