一、效果图

二、分析

这里对NtCreateProcessEx做拦截,用WinDbg来定位该函数在SSDT中的记录地址:

: kd> dd KeServiceDescriptorTable

8055d700    0000011c 805058c4

8055d710

8055d720

8055d730

8055d740    bf80c0b6

8055d750  f8399a80 f82ffb60 820f06b0 806f70c0

8055d760  071d8498  0b14f8a6

8055d770   01cf525a

: kd> dd  + 0x30 *

  805d2136  805ac3ae

  805c49b6 805d1fd4  805fa0e6

  805a60f4 80643f58 806440a8

   806170d6 80577c2c 80624c16

  805f5958 80624de6 8057a24a

  805befc4 805edd88 806170e4 80624fc6

  806170c8  805b4c9e 805edf34

  8061660c 80577cf8 805b7806 8062549a

: kd> u 805d2136

nt!NtCreateProcessEx:

805d2136 6a0c            push    0Ch

805d2138 68e0b84d80      push    offset nt!ObWatchHandles+0x684 (804db8e0)

805d213d e83eaaf6ff      call    nt!_SEH_prolog (8053cb80)

805d2142 64a124010000    mov     eax,dword ptr fs:[00000124h]

805d2148 33d2            xor     edx,edx

805d214a     cmp     byte ptr [eax+140h],dl

805d2150             je      nt!NtCreateProcessEx+0x51 (805d2187)

805d2152 8955fc          mov     dword ptr [ebp-],edx

三、源代码

#include <ntddk.h>

typedef struct _SERVICE_DESCRIPTOR_TABLE

{

    PULONG    ServiceTableBase;

    PULONG    ServiceCounterTableBase;

    ULONG    NumberOfServices;

    PUCHAR    ParamTableBase;

}SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TALBLE;

extern PSERVICE_DESCRIPTOR_TALBLE KeServiceDescriptorTable;

typedef NTSTATUS (*NTCREATEPROCESSEX)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, HANDLE, ULONG, HANDLE, HANDLE, HANDLE, ULONG);

//保存NtCreateProcessEx函数的地址

NTCREATEPROCESSEX ulNtCreateProcessEx = ;

//在指针数组中NtCreateProcessEx的地址

ULONG ulNtCreateProcessExAddr = ;

VOID UN_PROTECT()

{

    _asm

    {

        push    eax

        mov        eax,0FFFEFFFFh

        mov        CR0,eax

        pop        eax

    }

}

VOID RE_PROTECT()

{

    _asm

    {

        push    eax

        mov        eax,CR0

        or        eax,0FFFEFFFFh

        mov        CR0,eax

        pop        eax

    }

}

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)

{

    UN_PROTECT();

    //替换NtCreateProcessEx的地址为MyNtCreateProcessEx

    *(PULONG)ulNtCreateProcessExAddr = (ULONG)ulNtCreateProcessEx;

    RE_PROTECT();

}

NTSTATUS MyNtCreateProcessEx

(

    __out        PHANDLE                ProcessHandle,

    __in        ACCESS_MASK            DesiredAccess,

    __in_opt    POBJECT_ATTRIBUTES    ObjectAttributes,

    __in        HANDLE                ParentProcess,

    __in        ULONG                Flags,

    __in_opt    HANDLE                SectionHandle,

    __in_opt    HANDLE                DebugPort,

    __in_opt    HANDLE                ExceptionPort,

    __in        ULONG                JobMemberLevel

)

{

    NTSTATUS Status = STATUS_SUCCESS;

    KdPrint(("Enter MyNtCreateProcessEx! \r\n"));

    Status = ulNtCreateProcessEx(ProcessHandle,

        DesiredAccess, ObjectAttributes, ParentProcess,

        Flags, SectionHandle, DebugPort, ExceptionPort, JobMemberLevel);

    return Status;

}

VOID HookCreateProcess()

{

    ULONG ulSsdt = ;

    //获取SSDT

    ulSsdt = (ULONG)KeServiceDescriptorTable->ServiceTableBase;

    //获取NtCreateProcessEx地址的指针

    ulNtCreateProcessExAddr = ulSsdt + 0x30 * ;

    //备份NtCreateProcessEx的原始地址

    ulNtCreateProcessEx = (NTCREATEPROCESSEX)*(PULONG)ulNtCreateProcessExAddr;

    UN_PROTECT();

    //替换NtCreateProcessEx的地址为MyNtCreateProcessEx

    *(PULONG)ulNtCreateProcessExAddr = (ULONG)MyNtCreateProcessEx;

    RE_PROTECT();

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)

{

    NTSTATUS Status = STATUS_SUCCESS;

    pDriverObject->DriverUnload = DriverUnload;

    HookCreateProcess();

    return Status;

}

SSDT Hook的更多相关文章

  1. SSDT Hook实现简单的进程隐藏和保护【转载】

    原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 Alo ...

  2. SSDT Hook结构

    目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3与 ...

  3. 进程隐藏与进程保护(SSDT Hook 实现)(二)

    文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ri ...

  4. 进程隐藏与进程保护(SSDT Hook 实现)(一)

    读了这篇文章终于明白大致怎么回事了 文章目录:                   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4 ...

  5. SSDT Hook实现内核级的进程保护

    目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3与 ...

  6. 进程隐藏与进程保护(SSDT Hook 实现)(三)

    文章目录: 1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结: 1. 引子: 关于这个 SSDT Hook 实现进程 ...

  7. 通过SSDT HOOK实现进程保护和进程隐藏

    ---恢复内容开始--- 首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧...... SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用 ...

  8. X86 下的SSDT HOOK

    目录 SSDTHOOK 1.SSDTHOOK 原理. 1.x32下的SSDT HOOK 2.SSDT HOOK代码 3.结果 4.总结 SSDTHOOK 1.SSDTHOOK 原理. x32下,直接获 ...

  9. Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)

    SHADOW SSDT HOOK HOOK 和 UNHOOK SHADOW SSDT 跟之前的 HOOK/UNHOOK SSDT 类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还 ...

  10. HOOK技术之SSDT hook(x86/x64)

    x86 SSDT Hook 32位下进行SSDT Hook比较简单,通过修改SSDT表中需要hook的系统服务为自己的函数,在自己的函数中进行过滤判断达到hook的目的. 获取KeServiceDes ...

随机推荐

  1. linux free命令(转载)

    来源:http://www.cnblogs.com/peida/archive/2012/12/25/2831814.html free命令可以显示Linux系统中空闲的.已用的物理内存及swap内存 ...

  2. Maven内置隐式变量(转)

    Maven提供了三个隐式的变量可以用来访问环境变量,POM信息,和Maven Settings env env变量,暴露了你操作系统或者shell的环境变量.便 如在Maven POM中一个对${en ...

  3. 真正的轻量级WebService框架——使用JAX-WS(JWS)发布WebService

    WebService历来都很受重视,特别是Java阵营,WebService框架和技术层出不穷.知名的XFile(新的如CXF).Axis1.Axis2等. 而Sun公司也不甘落后,从早期的JAX-R ...

  4. Jmeter html 报告中添加90% line time

    转载南风_real博客园:http://www.cnblogs.com/jaychang/p/5784882.html 首先上效果图: 其次明白几个原理: 90% Line的意思是:一组数由小到大进行 ...

  5. Microsoft Visual C++ 2015 Redistributable(x64) - 14.0.2306 设置失败

    想要在Windows 2008 R2 中 安装PHP, 需要安装 Microsoft Visual C++ 2015 Redistributable(x64) ,结果提供设置失败. 先中找到以下文字, ...

  6. angularJs中的隐藏和显示

    <!DOCTYPE html> <html ng-app="a2_12"> <head> <meta charset="utf- ...

  7. sql server 与oracle数据互导的一种思路--sql server链接服务器

    思路:通过在sql server数据库中添加链接服务器,可以远程查询oracle数据库的表环境准备,安装sql server数据库,并安装好oracle驱动,在配置好tnsname文件中配置好orac ...

  8. django 获取系统当前时间 和linux 系统当前时间不一致 问题处理。

    问题场景: 在django admin models 实体对象添加一个属性最后修改时间,用户在添加.修改是系统自动修改操作时间. UpdateTime自动获取系统时间.并且自动修改. 代码设置如下. ...

  9. POJ 2823【单调队列】

    题意: 给出序列,找出每个连续长度为k的子序列的最大值和最小值. 思路: 裸单调队列... 单调队列这东西用的真的非常局限,大概只能用到这种情景中== 简单说一下维护: 添加元素,为了保持单调性,排除 ...

  10. php文字水印和php图片水印实现代码

    本文章向码农们介绍php文字水印和php图片水印实现代码,需要的码农可以参考一下. php 文字水印 文字水印就是在图片上加上文字,主要使用gd库的imagefttext方法,并且需要字体文件. 实现 ...