程序博客网 > 三角洲装备知乎

SSDThook

来源:互联网 发布:三角洲装备知乎 编辑:程序博客网 时间:2024/06/05 19:39

SSDT hook整个流程:

获取SSDT表,自定义函数替换表中函数地址。


通过以下的方式获取SSDT表的内容:

typedef struct ServiceDescriptorTable    {    PVOID ServiceTableBase;    PVOID ServiceCounterTable;    unsigned int NumberOfSection;    PVOID ParamTableBase;    }*PServiceDescriptorTable;extern "C" PServiceDescriptorTable KeServiceDescriptorTable;


自定义函数:MyNtOpenProcess

extern "C" typedef NTSTATUS _stdcall NTOPENPROCESS    (    OUT PHANDLE ProcessHandle,    IN ACCESS_MASK AccessMask,    IN POBJECT_ATTRIBUTES ObjectAttributes,    IN PCLIENT_ID ClientId    );NTOPENPROCESS *Real_NtOpenProcess;extern "C" NTSTATUS _stdcall MyNtOpenProcess(    OUT PHANDLE ProcessHandle,    IN ACCESS_MASK DesiredAccess,    IN POBJECT_ATTRIBUTES ObjectAttributes,    IN PCLIENT_ID ClientId    )    {    NTSTATUS  rc;    rc = Real_NtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);;    int PID = (int)ClientId->UniqueProcess;    if(PID == g_MyPID &&-1 != g_MyPID)        {        KdPrint(("阻止的PID =========%d",PID));        ProcessHandle = NULL;        rc = STATUS_ACCESS_DENIED;        }    return rc;    }

hook  函数:

NTSTATUS Hook()    {    //Real_NtOpenProcess     int* HookAddr;    _asm{        push eax;        push ebx;        mov ebx,KeServiceDescriptorTable;        mov ebx,[ebx];        mov eax,0xBE;        shl eax,2;        add ebx,eax;        mov HookAddr,ebx;        mov ebx,[ebx];        mov Real_NtOpenProcess,ebx;        pop ebx;        pop eax;        }    KdPrint(("Real_NtOpenProcess ====%x",Real_NtOpenProcess));    _asm{        cli        mov eax,cr0;        and eax,0xfffeffff;        mov cr0,eax;        }    *HookAddr = (int)MyNtOpenProcess;    _asm{        mov eax,cr0;        or eax,0x10000;        mov cr0,eax;        sti;        }    return STATUS_SUCCESS;    }

unHook 函数:

NTSTATUS UnHook()    {    int *HookAddr;    _asm{        pushad;        mov eax,KeServiceDescriptorTable;        mov eax,[eax];        mov ebx,0xBE;        shl ebx,2;        add eax,ebx;        mov HookAddr,eax;        popad;        }    _asm{        cli        mov eax,cr0;        and eax,0xfffeffff;        mov cr0,eax;        }    KdPrint(("operator of Unhook is successe  Real_NtOpenProcess = %x ",Real_NtOpenProcess));    *HookAddr = (int)Real_NtOpenProcess;    _asm{        mov eax,cr0;        or eax,0x10000;        mov cr0,eax;        }    return STATUS_SUCCESS;    }


0 0
三角洲装备知乎 三角洲装备知乎
原创粉丝点击
热门IT博客
微信视频裂变源码微信视频裂变源码
猫吃老鼠会得病吗 知乎猫吃老鼠会得病吗 知乎
phpb2c商城源码
学园孤岛知乎
淘宝比较没竞争的类目
淘宝鞋架图片大全
win10网络连接不稳定
张毅君 知乎
安卓版外国网络电视apk
已经备案未注册域名
淘宝怎么买airbnb卷
substring的用法 sql
js中kjur undefine
网络大电影是什么意思
台湾客户淘宝购买流程
北京南天软件 知乎
无线网管理软件
永久域名发布网器
au软件怎么录音
跳跃网络和腾讯
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 测振仪产品 测振仪三档各表示什么 测振仪三档使用方法 测控技术 测控 初中同步测控优化设计 高中同步测控优化设计 名师测控九年级上册数学 名师测控八年级上册数学答案 名师测控七上语文答案 每通测控科技股份有限公司 测控技术与仪器就业难 测控技术与仪器招聘 太阳能全自动测控仪使用图解 测斜仪 自动化测斜仪 测斜仪多少钱 测斜仪报价 活动式测斜仪 自浮式测斜仪 基康测斜仪 陀螺连续测斜仪 自动测斜仪 测斜仪厂家 高精度测斜仪 固定测斜仪价格 手机测斜仪 连续陀螺测斜仪 盒式固定测斜仪 固定测斜仪 垂直测斜仪 测斜仪说明书 测斜仪价格 钻孔测斜仪 振弦式测斜仪 测斜仪使用方法 双轴测斜仪 高温测斜仪 进口测斜仪 测斜仪哪家好 无线随钻测斜仪

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里