SSDTHOOK
来源:互联网 发布:商城订单数据库设计 编辑:程序博客网 时间:2024/06/16 16:34
#include "ntddk.h"
void PageProtectOff();
void PageProtectOn();
#pragma pack(1)
typedef struct ServiceDescriptorEntry {
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase;
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()
NTSTATUS
PsLookupProcessByProcessId(
IN HANDLE ProcessId,
OUT PEPROCESS *Process
);
UCHAR *PsGetProcessImageFileName(PEPROCESS EProcess);
__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
typedef NTSTATUS(*MYNTOPENPROCESS)(
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK AccessMask,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId );
ULONG old_openprocee;
void DriverUnload(PDRIVER_OBJECT pdr){
PageProtectOff();
KeServiceDescriptorTable.ServiceTableBase[224]=(unsigned int)old_openprocee;
PageProtectOn();
}
void PageProtectOff()
{
__asm{
cli
mov eax,cr0
and eax,not 10000h
mov cr0,eax
}
}
void PageProtectOn()
{
__asm{
mov eax,cr0
or eax,10000h
mov cr0,eax
sti
}
}
BOOLEAN ProtectProcess(HANDLE ProcessId,char *str_ProtectObjName)
{
NTSTATUS status;
PEPROCESS process_obj;
if(!MmIsAddressValid(str_ProtectObjName))
{
return FALSE;
}
if(ProcessId==0)
{
return FALSE;
}
status=PsLookupProcessByProcessId(ProcessId,&process_obj);
if(!NT_SUCCESS(status))
{
return FALSE;
}
if(!strcmp(PsGetProcessImageFileName(process_obj),str_ProtectObjName))
{
ObDereferenceObject(process_obj);
return TRUE;
}
ObDereferenceObject(process_obj);
return FALSE;
}
NTSTATUS MyNtOpenProcess (
__out PHANDLE ProcessHandle,
__in ACCESS_MASK DesiredAccess,
__in POBJECT_ATTRIBUTES ObjectAttributes,
__in_opt PCLIENT_ID ClientId
)
{
if(ProtectProcess(ClientId->UniqueProcess,"calc.exe"))
{
return STATUS_UNSUCCESSFUL;
}
return ((MYNTOPENPROCESS)old_openprocee)(ProcessHandle,
DesiredAccess,
ObjectAttributes,
ClientId);
}
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject ,PUNICODE_STRING preg){
KdPrint(("MY first driver!"));
PageProtectOff();
old_openprocee=(ULONG)KeServiceDescriptorTable.ServiceTableBase[224];
KeServiceDescriptorTable.ServiceTableBase[224]=(unsigned int)MyNtOpenProcess;
PageProtectOn();
DriverObject->DriverUnload=DriverUnload;
return STATUS_SUCCESS;
}
途中遇到问题很多 比如= =编译驱动文件的时候居然受误导编译器整成了应用层的EXE文件蛋疼 今天才发现= = 还有 导出 ssdt表的时候 如果你的代码文件名是.c结尾的 一定要在前面加 extern "C" 不然用不了= = 其实 把文件名改了就好 创建项目一定选择空项目= =
- SSDTHOOK
- SSDThook
- 查看SSDTHOOK其修改
- SSDTHook的原理
- SSDTHOOK关于拦截时弹窗的问题
- 内核编程之SSDTHook(1)原理
- Win7 64位的SSDTHOOK(1)---SSDT表的寻找
- SSDTHook实例--编写稳定的Hook过滤函数
- Win7 64位的SSDTHOOK(1)---SSDT表的寻找
- x86下以ntopenprocess为例的SSDTHook
- Win7 64位的SSDTHOOK(1)---SSDT表的寻找
- Win7 64位的SSDTHOOK(1)---SSDT表的寻找
- Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
- 内核编程之SSDTHook(2)Hook NtOpenProcess实现进程保护
- 内核编程之SSDTHook(3)Hook NtCreateSection监控所有可执行模块加载
- Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
- Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
- Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
- 我对linux理解之device_register
- Android ListView 复合数据的adapter
- 转义字符(持续更新中。。)
- 人生苦短,我用Python 学习笔记——第六天
- 剑指Offer之 - 圆圈中最后剩下的数字
- SSDTHOOK
- Linux学习之Bash Shell
- PL/SQL配置
- 如何在Windows下安装ffmpeg以及一些简单的命令
- Qt 线程基础(QThread、QtConcurrent等)
- 如何设置Android中不同颜色透的明度
- Windows Phone canvas层叠布局
- robotium脚本封装APK,脱离手机数据线
- CGBitmapContextCreate函数参数详解
