#ifdef __cplusplus

 extern "C"

 {

 #endif

 #include <ntddk.h>

 #ifdef __cplusplus

 }

 #endif

 typedef struct _ServiceDescriptorTable {

     unsigned int *ServiceTableBase; //System Service Dispatch Table 的基地址

     unsigned int *ServiceCounterTable;

     //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。

     unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。

     unsigned int *ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表

 }*PServiceDescriptorTable;  

 extern "C" extern PServiceDescriptorTable KeServiceDescriptorTable;

 typedef NTSTATUS (*NTCREATEPROCESSEX)(PHANDLE ProcessHandle,

     ACCESS_MASK DesiredAccess,

     POBJECT_ATTRIBUTES oa,

     HANDLE ParentProcess,

     ULONG Flags,

     HANDLE SectionHandle,

     HANDLE DebugPort,

     HANDLE ExceptionPort,

     ULONG JobFlag);

 ULONG O_NtCreateProcesseEx = ;    // 保存原始地址

 // 去掉页面保护

 VOID UN_PROTECT()

 {

     __asm

     {

         cli    //关闭中断,增强这段代码的稳定性

         push eax

         mov eax, CR0

         and eax, 0x0FFFEFFFF //使低17位为0   从右往左第17位

         mov CR0, eax

         pop eax

     }

 }

 // 恢复页面保护

 VOID RE_PROTECT()

 {

     __asm

     {

             push eax

             mov eax, CR0

             or  eax,10000h //使低17位为1

             mov CR0, eax

             pop eax

             sti    //打开中断

     }

 }

 //自己定义的函数,让程序执行的函数

 NTSTATUS

 MyNtCreateProcessEx(

     PHANDLE ProcessHandle,

     ACCESS_MASK DesiredAccess,

     POBJECT_ATTRIBUTES oa,

     HANDLE ParentProcess,

     ULONG Flags,

     HANDLE SectionHandle,

     HANDLE DebugPort,

     HANDLE ExceptionPort,

     ULONG JobFlag)

 {

     KdPrint(("Hook NtCreateProcess Success\n"));

     // 调用NtCreateProcessEx函数,为什么能够调用?因为地址因为替换成NtCreateProcessEx函数的地址

     // 3 正常返回

     return ((NTCREATEPROCESSEX)O_NtCreateProcesseEx)(ProcessHandle,

                         DesiredAccess,

                         oa,

                         ParentProcess,

                         Flags,

                         SectionHandle,

                         DebugPort,

                         ExceptionPort,

                         JobFlag);

 }

 VOID HookSsdt()

 {

     //1 保存

     O_NtCreateProcesseEx = KeServiceDescriptorTable->ServiceTableBase[];

     UN_PROTECT();

     // 2 替换

     KeServiceDescriptorTable->ServiceTableBase[] = (unsigned int )MyNtCreateProcessEx;

     RE_PROTECT();

 }

 VOID UnHookSsdt()

 {

     // 4 替换回去

     KeServiceDescriptorTable->ServiceTableBase[] = O_NtCreateProcesseEx;

 }

 VOID DriverUnload(PDRIVER_OBJECT pDriverObject)

 {

     UnHookSsdt();

     KdPrint(("Driver Unload Success\n"));

 }

 extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)

 {

     KdPrint(("Welcome to JoyChou's Driver\n"));

     pDriverObject->DriverUnload = DriverUnload;

     HookSsdt();

     return STATUS_SUCCESS;

 }
整个流程:
首先在DriverEntry调用HookCreateProcess()函数,该函数的作用是将SSDT表中NtCreateProcessEx()函数的地址替换为
MyNtCreatePocessEx()函数的地址。
而MyNtCreatePocessEx()函数是用来取代NtCreateProcessEx()函数的函数。
 
说明:
执行UN_PROTECT()后,CPU可以向标志为只读的内存页进行写入操作。
写入完成后,执行RE_PROTECT()函数回复到原来的状态。
 
效果:
当加载驱动后,随意运行一个程序,用dbgview就能接受到“Hook NtCreateProcess Success”成功提示字符串
 
 
 
环境:
XP SP3
 
注意:
ulNtCreateProcesseExAddr = ulSsdt + 48 * 4;//这的48根据自己的电脑SSDT表中NtCreateProcessEx序号

Hook SSDT中NtCreateProcessEx的更多相关文章

  1. 基于frida框架Hook native中的函数(1)

    作者:H01mes撰写的这篇关于frida框架hook native函数的文章很不错,值得推荐和学习,也感谢原作者. 0x01 前言 关于android的hook以前一直用的xposed来hook j ...

  2. Resume Hook SSDT

    在HookSSDT中  通过在第4部通过索引将NtOpenProcess 换成 Base[索引] = FakeNtOpenProcess; so 在阻止时应该在ntoskrnl.exe 找到真正的Op ...

  3. 闭包传参 余额计算 钩子hook 闭包中的this JavaScript 钩子

    闭包传参  余额计算    钩子hook 小程序 a=function(e){console.log(this)}() a=function(e){console.log(this)}() VM289 ...

  4. 简单HOOK SSDT实现文件防删除

    http://www.rosoo.net/a/201001/8347.html

  5. 进程隐藏与进程保护(SSDT Hook 实现)(二)

    文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ri ...

  6. SSDT表函数Hook原理

    其实 SSDT Hook 的原理是很简单的,我们可以知道在 SSDT 这个数组中呢,保存了系统服务的地址,比如对于 Ring0 下的 NtQuerySystemInformation 这个系统服务的地 ...

  7. SSDT Hook实现简单的进程隐藏和保护【转载】

    原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 Alo ...

  8. 菜鸟开始学习SSDT HOOK((附带源码)

    看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入.在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来.首先我们应该认识 ssdt是什么?从梦无 ...

  9. SSDT Hook

    一.效果图 二.分析 这里对NtCreateProcessEx做拦截,用WinDbg来定位该函数在SSDT中的记录地址: : kd> dd KeServiceDescriptorTable 80 ...

随机推荐

  1. bash shell:重定向标准错误输出

    如何重定向标准错误输出到标准输出?如何把标准错误输出输出到一个文件? Bash提供了I/O重定向工具,有3个缺省的文件(标准输出流): stdin - 用来获取输入,比如键盘.文件重定向 stdout ...

  2. linux添加静态路由表,重新启动继续有效

    在日常使用中.要么server于.有两个地址,两块网卡的配置,访问不同网段.这样的情况是非常普遍的现象.但,我们需要添加到路由表中的一个额外的,以确定通过正确的网关发送的数据包,并interface能 ...

  3. AngularJS之使用控制器封装业务逻辑

    AngularJS之使用控制器封装业务逻辑 控制器的作用 我们知道,在AngularJS中,实现数据绑定的核心是scope对象.那么控制器又有什么用呢? 简单地说,没有控制器/controller,我 ...

  4. OC第四课

    主要内容:NSString.NSArray.NSNumber 一.苹果公司的帮助文档(API) 学会查看API对于后续的编程有很好的帮助 进入方法: Xcode ->Help -> Doc ...

  5. JAVA学习篇--Java类加载

    由来: 与普通程序不同的是,Java程序(class文件)并非本地的可执行程序(解释性语言). 当执行Java程序时.首先执行JVM(Java虚拟机),然后再把Javaclass载入到JVM里头执行, ...

  6. Git基础教程

    Git是一个分布式的版本控制工具,本篇文章从介绍Git开始,重点在于介绍Git的基本命令和使用技巧,让你尝试使用Git的同时,体验到原来一个版 本控制工具可以对开发产生如此之多的影响,文章分为两部分, ...

  7. 初探Django线程发送邮件

    最近一直在纠结一个邮件发送的问题. 在本地Linux下搭建程序,不填写EMAIL设置就可以成功发送邮件,在远端的云服务器下的Linux环境就发送不了.在windows下搭建的程序也不能发送注册邮件,很 ...

  8. css3学习文档

    什么是CSS3? CSS3是CSS2的升级版本,3只是版本号,它在CSS2.1的基础上增加了很多强大的新功能. 目前主流浏览器chrome.safari.firefox.opera.甚至360都已经支 ...

  9. robin 今日南

    我很高兴,在学校体育馆看到李彦宏博士. 这是第一个真正的一次在媒体上看到,只能看到人才足够多的人,现实,我觉得非常好. 我不是一个真正罗宾的粉丝.百度是不是很热衷于这家公司.,但现在我仍然兴奋,我会被 ...

  10. 查询职责分离(CQRS)模式

    查询职责分离(CQRS)模式 在常用的三层架构中,通常都是通过数据访问层来修改或者查询数据,一般修改和查询使用的是相同的实体.在一些业务逻辑简单的系统中可能没有什么问题,但是随着系统逻辑变得复杂,用户 ...