x64下進程保護HOOK
目錄 x64(32)下的進程保護回調. 一丶進程保護線程保護 1.簡介以及原理 1.2 代碼 1.3注意的問題 二丶丶回調函數寫法 2.1 遇到的問題 ...
原文:x64驅動:DKOM 實現進程隱藏
DKOM 就是直接內核對象操作技術,我們所有的操作都會被系統記錄在內存中,而驅動進程隱藏的做舊就是操作進程的EPROCESS結構與線程的ETHREAD結構 鏈表,要實現進程的隱藏我們只需要將某個進程中的信息,在系統EPROCESS鏈表中摘除即可實現進程隱藏。 DKOM 隱藏進程的本質是操作EPROCESS結構體,EPROCESS結構體中包含了系統中的所有進程相關信息,還有很多指向其他結構的指針,首 ...
2019-10-11 14:38 0 817 推薦指數:
相關推薦
遍歷進程活動鏈表(ActiveProcessLinks)、DKOM隱藏進程
1.EPROCESS結構體 EPROCESS塊來表示。EPROCESS塊中不僅包含了進程相關了很多信息,還有很多指向其他相關結構數據結構的指針。例如每一個進程里面都至少有一個ETHREAD塊表示的線程。進程的名字,和在用戶空間的PEB(進程環境)塊等等。EPROCESS中除了PEB成員塊 ...
X64驅動:內核操作進線程/模塊
注意:下面的所有案例必須使用.C結尾的文件,且必須在鏈接選項中加入 /INTEGRITYCHECK 選項,否則編譯根本無法通過(整合修正,Win10可編譯,須在測試模式下進行),內核代碼相對固定,如果 ...
win7(X64)+wdk7驅動環境搭建
!!版權聲明:本文為博主原創文章,版權歸原文作者和博客園共有,謝絕任何形式的 轉載!! 作者:mohist ----- 藍 屏 警 告 --- 加載驅動的操作請在虛擬機中完成, 可以有效避免物理機藍屏 或者其他情況出現 帶來的損失。 1、准備 ...
X64驅動:讀取SSDT表基址
前面的驅動編程相關內容都是在32位環境下進行的,驅動程序與應用程序不同,32位的驅動只能運行在32位系統中,64位驅動只能在64位系統中運行,在WIN32環境下,我們可以各種Hook掛鈎各種系統函數,而惡意程序也可以通過加載驅動進行內核層面的破壞(Rootkit),大家都可以亂搞,把好端端 ...
深入 x64
本篇原文為 X64 Deep Dive,如果有良好的英文基礎的能力,可以點擊該鏈接進行閱讀。本文為我個人:寂靜的羽夏(wingsummer) 中文翻譯,非機翻,著作權歸原作者所有。 由於原文十分冗長,也十分干貨,采用機翻輔助,人工閱讀比對修改的方式進行,如有翻譯不得當的地方,歡迎批評 ...
x64 簡介
本篇原文為 introduction to x64 assembly ,如果有良好的英文基礎,可以點擊該鏈接進行下載閱讀。本文為我個人:寂靜的羽夏(wingsummer) 中文翻譯,非機翻,著作權歸原作者所有。 本篇不算太長,是來自Intel的官方下載的介紹性文檔,如有翻譯不得當的地方 ...
DDK編寫64位驅動時加入x64匯編的方法
上篇講了如何在編寫x64應用程序時加入x64匯編,這里來說說如何在編寫x64驅動時加入x64匯編。 一、在asm文件中單獨編寫功能函數 比如要實現一個64位的加法函數,原型如下: ULONG64 myAdd(ULONG64 u1,ULONG64 u2); 那么源碼目錄(一般 ...