//当Ring3调用OpenProcess

//1从自己的模块(.exe)的导入表中取值

//2Ntdll.dll模块的导出表中执行ZwOpenProcess(取索引 进入Ring0层)

//3进入Ring0 从Ntoskernel.exe模块的导出表中执行ZwOpenProcess(取索引 获得SSDT服务地址)

//4通过索引在SSDT表中取值(NtOpenProcess的地址)

//5真正调用NtOpenProcess函数

在真正调用OpenProcess后 可以通过修改里面跳转函数的地址 从而HookSSDT

     /*

     kd> u NtOpenProcess

     nt!NtOpenProcess:

     fffff800`0415d2ec 4883ec38        sub     rsp,38h

     fffff800`0415d2f0 65488b042588010000 mov   rax,qword ptr gs:[188h]

     fffff800`0415d2f9 448a90f6010000  mov     r10b,byte ptr [rax+1F6h]

     fffff800`0415d300 4488542428      mov     byte ptr [rsp+28h],r10b

     fffff800`0415d305 4488542420      mov     byte ptr [rsp+20h],r10b

     fffff800`0415d30a e851fcffff      call    nt!PsOpenProcess (fffff800`0415cf60)

     fffff800`0415d30f 4883c438        add     rsp,38h

     fffff800`0415d313 c3              ret

     */

win7_64中OpenProcess

 /*

 u ZwOpenProcess

 nt!ZwOpenProcess:

 805016b4 b87a000000      mov     eax,7Ah

 805016b9 8d542404        lea     edx,[esp+4]

 805016bd 9c              pushfd

 805016be 6a08            push    8

 805016c0 e88c0d0400      call    nt!KiSystemService (80542451)

 805016c5 c21000          ret     10h

 nt!ZwOpenProcessToken:

 805016c8 b87b000000      mov     eax,7Bh

 805016cd 8d542404        lea     edx,[esp+4]

 */

WinXP中OpenProcess

首先获得SSDT的地址

在SSDT中查找OpenProcess的Index

保存原来函数地址 (在卸载驱动时要恢复回去);

修改ZwOpenProcess中的跳转函数

http://www.cnblogs.com/yifi/p/4968755.html

InLineHookSSDT的更多相关文章

  1. Resume InlineHookSSDT

    在InlineHook中修改了zwOpenProcess函数的中的指令 与Resume HookSSDT同理 找出一个正确的值覆盖上去就行. 突发奇想  有没有可能上去一个驱动或者程序  直接卸载掉I ...

随机推荐

  1. html 如何获取表格中所选行的一行数据,并赋值到对应的TEXT里面?

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  2. [转载] ORMs under the hood

    原文: http://www.vertabelo.com/blog/technical-articles/orms-under-the-hood It often happens that if so ...

  3. Web浏览器的缓存机制

    Web缓存的工作原理 所有的缓存都是基于一套规则来帮助他们决定什么时候使用缓存中的副本提供服务(假设有副本可用的情况下,未被销毁回收或者未被删除修改).这些规则有的在协议中有定义(如HTTP协议1.0 ...

  4. js之oop <一> 创建对象,构造器(class)

    js中除了基本类型,就是对象.可以说在js中处处皆对象. 由于js是弱语言,在编写的过程中很容易混淆 object 和 class 也就是对象和构造器. object(对象):一般对象都由var关键字 ...

  5. web设计经验<六>令网站看起来不专业的10个设计误区

    不管你是不是一个羽翼未丰企业的领导,专业的网站能为你带来的东西比你想象的多很多.退一万步来说,“考虑到我们是一个小厂”,粗糙的网站也许能被用户理解,但是不一定能接受.每天大家所浏览的大量的网站,已经从 ...

  6. JAVA使用POI读取EXCEL文件的简单model

    一.JAVA使用POI读取EXCEL文件的简单model 1.所需要的jar commons-codec-1.10.jarcommons-logging-1.2.jarjunit-4.12.jarlo ...

  7. 对SIGQUIT的实验 & Java dump

    写了一个Java程序,sleep 20秒. package com.company; public class Main { public static void main(String[] args ...

  8. iOS开发之 xcode6 APP 打包提交审核详细步骤

    一. 在xcode6.1和ios10.10.1环境下实现app发布 http://blog.csdn.net/mad1989/article/details/8167529 http://jingya ...

  9. volley超时和重复请求问题

    原文:  Android Volley double post when have slow request I have a problem with Volley POST request on ...

  10. 数据分析学习(zhuan)

    http://www.zhihu.com/question/22119753 http://www.zhihu.com/question/20757000 ********************** ...