HOOK SSDT主要代码

#pragma once

#include <ntifs.h>

/*

 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 *                                                                                 *                                                                                *

 * 更多游戏逆向视频www.yxfzedu.com                                                 *

 *                                                                                 *

 * 有任何问题请发邮件至service@yxfzedu.com                                         *

 *                                                                                 *

 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 */

#pragma pack(1)     //SSDT表的结构

typedef struct ServiceDescriptorEntry {

    unsigned int* ServiceTableBase;

    unsigned int* ServiceCounterTableBase; //Used only in checked build

    unsigned int NumberOfServices;

    unsigned char* ParamTableBase;

} ServiceDescriptorTableEntry_t, * PServiceDescriptorTableEntry_t;

#pragma pack()

typedef NTSTATUS (*pNtOpenProcess)(

    OUT PHANDLE ProcessHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes,

    IN PCLIENT_ID ClientId OPTIONAL);

ULONG g_OpenProcess;

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

//恢复内存保护

VOID PageProtectOn() {

    __asm {

        mov eax, cr0;

        or eax, 0x10000;

        mov cr0, eax;

        sti;//开启中断

    }

}

//去掉内存保护

VOID PageProtectOFF() {

    __asm {

        cli;//关闭中断,防止线程切换

        mov eax, cr0;

        and eax,not 0x10000;

        mov cr0, eax;

    }

}

//

ULONG GetProcessNameOffset()

{

    PEPROCESS curproc;

    ULONG procNameOffset;

    //获取EPROCESS结构的地址

    curproc = PsGetCurrentProcess();

    for (int i = ; i < ; i++)

    {

        if (!strncmp("explo", (PCHAR)curproc + i, strlen("explo")))

        {

            procNameOffset = i;

            return procNameOffset;

        }

    }

    return ;

}

BOOLEAN ProtectProcess(HANDLE ProcessId) {

    PEPROCESS Process;

    //HANDLE ProcessId = 100;

    if (ProcessId == ) {

        return FALSE;

    }

    NTSTATUS ProcessByProcessIdStatus = PsLookupProcessByProcessId(ProcessId, &Process);

    if (ProcessByProcessIdStatus != STATUS_SUCCESS)

    {

        KdPrint(("yxfzedu:根据PID获取进程对象失败 \n"));

        return FALSE;

    }

    PEPROCESS pEprocess = PsGetCurrentProcess();

    KdPrint(("yxfzedu %s \n", (UCHAR*)pEprocess + 0x16c));

    if(strstr((char*)pEprocess + 0x16c,"TraceMe")!=){

        ObDereferenceObject(Process);

        return TRUE;

    }

    ObDereferenceObject(Process);

    return FALSE;

}

NTSTATUS MyNtOpenProcess(

    OUT PHANDLE ProcessHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes,

    IN PCLIENT_ID ClientId OPTIONAL) {

    KdPrint(("yxfzedu: 进入到了MyNtOpenProcess! \n"));

    KdPrint(("yxfzedu: ClientId->UniqueProcess=%d \n", ClientId->UniqueProcess));

    if (ClientId->UniqueProcess == (HANDLE))

    {

        return STATUS_UNSUCCESSFUL;

    }

    /*ULONG offse= GetProcessNameOffset();

    KdPrint(("yxfzedu:%d\n",offse));*/

    //PEPROCESS pEprocess =  PsGetCurrentProcess();

    //KdPrint(("yxfzedu %s \n", (UCHAR*)pEprocess + 0x16c));

    NTSTATUS status = ((pNtOpenProcess)g_OpenProcess)(ProcessHandle, DesiredAccess, ObjectAttributes,ClientId);

    return status;

}

NTSTATUS HookOpenProcess() {

    PageProtectOFF();

    g_OpenProcess = KeServiceDescriptorTable.ServiceTableBase[];

    KeServiceDescriptorTable.ServiceTableBase[] = (ULONG)MyNtOpenProcess;

    PageProtectOn();

    /*for (unsigned int i = 0; i < KeServiceDescriptorTable.NumberOfServices; i++)

    {

       KdPrint(("yxfzedu: 索引号【%d】函数地址=%X \n",i, KeServiceDescriptorTable.ServiceTableBase[i]));

    }*/

    return STATUS_SUCCESS;

}

VOID UnHook() {

    PageProtectOFF();

    KeServiceDescriptorTable.ServiceTableBase[] = g_OpenProcess;

    PageProtectOn();

    KdPrint(("yxfzedu:HookOpenProcess 以还原!"));

}

更多游戏逆向视频www.yxfzedu.com

HOOK SSDK的更多相关文章

  1. svnserver hook python

    在使用中可能会遇到的错误排除 :1.Error: svn: 解析"D:\www\test"出错,或svn: E020024: Error resolving case of 'D: ...

  2. Android Hook技术

    原文:http://blog.csdn.net/u011068702/article/details/53208825 附:Android Hook 全面入侵监听器 第一步.先爆项目demo照片,代码 ...

  3. Frida HOOK微信实现骰子作弊

    由于微信摇骰子的功能在本地进行随机后在发送,所以存在可以hook掉判断骰子数的方法进行修改作弊. 1.frida实现hook java层函数1)写个用来测试的demo,当我们点击按钮的时候会弹出窗口显 ...

  4. java的关闭钩子(Shutdown Hook)

    Runtime.getRuntime().addShutdownHook(shutdownHook);    这个方法的含义说明:        这个方法的意思就是在jvm中增加一个关闭的钩子,当jv ...

  5. IDT HOOK思路整理

    IDT(中断描述符表)分为IRQ(真正的硬件中断)和软件中断(又叫异常). HOOK的思路为,替换键盘中断处理的函数地址为自己的函数地址.这样在键盘驱动和过滤驱动之前就可以截获键盘输入. 思路确定之后 ...

  6. Android Hook 借助Xposed

    主要就是使用到了Xposed中的两个比较重要的方法,handleLoadPackage获取包加载时候的回调并拿到其对应的classLoader:findAndHookMethod对指定类的方法进行Ho ...

  7. iOS App 无代码入侵的方法hook

    继续Objective-C runtime的研究 最近公司项目在做用户行为分析 于是App端在某些页面切换,交互操作的时候需要给统计系统发送一条消息 在几十个Controller 的项目里,一个一个地 ...

  8. Hook机制里登场的角色

    稍有接触过 WordPress 主题或插件制作修改的朋友,对 WordPress 的Hook机制应该不陌生,但通常刚接触WordPress Hook 的新手,对其运作原理可能会有点混乱或模糊.本文针对 ...

  9. java hook

    linux下 hook的触发,需要 发送信号为15. 后续补充具体内容.

随机推荐

  1. 吴太银:华为消费者云服务Cassandra使用场景与最佳实践

    大家好,我是华为消费者云的吴太银. 我今天分享的主要是华为消费者云服务使用Cassandra的应用场景和最佳实践.我这个可能跟其他嘉宾分享的不太一样,因为前几个嘉宾讲的实际上对Cassandra原生的 ...

  2. 全程干货,requests模块与selenium框架详解

    requests模块 前言: 通常我们利用Python写一些WEB程序.webAPI部署在服务端,让客户端request,我们作为服务器端response数据: 但也可以反主为客利用Python的re ...

  3. JS DOM笔记

    js的组成     ECMAScript:JS的语法     DOM:页面文档对象模型     BOM:浏览器对象模型     web APIs     是浏览器提供的一套操作浏览器功能和页面元素的A ...

  4. 使用Spock 单元测试

    一.什么是Spock Spock 是一个测试框架,甚至可以说是一门语言他是基于Groovy开发的.它的语法完全遵循 BDD(行为驱动开发) 风格的结构.它是基于 Junit test runner 上 ...

  5. 【Python笔记】2020年7月30日练习【汉诺塔游戏】

    学习教程:廖雪峰-Python教程-函数-递归函数 学习笔记: 实例代码如下: def move(n, a, b, c): if n == 1: print(a,'--->', c) else: ...

  6. .NET Core 微服务—API网关(Ocelot) 教程 [四]

    前言: 上一篇 介绍了Ocelot网关和认证服务的结合使用,本篇继续介绍Ocelot相关请求聚合和Ocelot限流 一.请求聚合 Ocelot允许声明聚合路由,这样可以把多个正常的Routes打包并映 ...

  7. Django-model查询[为空、由某字符串开头、由某字符串结尾、包含某字符串],__isnull、__starswith、__endswith、__contains

    使用属性+__isnull就可以判断此字段为空 a = DatasClass.objects.filter(name__isnull=True) 使用属性+__startswith可以判断属性由某字符 ...

  8. windows10永久激活工具 新版win10激活工具(绝对有效的永久激活工具)

    来看这篇文章的,都用过KMS了吧?对!KMS是批量激活的,激活时间是一年,如果给女神激活,此法首选呀!!!但是帮基友激活,过了一年又来找自己,作为程序员的你,脸上是不是有点挂不住然后又不想花钱去买某宝 ...

  9. unity探索者之socket传输protobuf字节流(三)

    版权声明:本文为原创文章,转载请声明http://www.cnblogs.com/unityExplorer/p/6986474.html 上一篇讲到了数据的处理,这一篇主要讲使用多线程收发消息 // ...

  10. Goland远程连接Linux开发调试

    参考链接: https://blog.csdn.net/huwh_/article/details/77879152?utm_source=blogxgwz3 https://baijiahao.ba ...