HOOK SSDT主要代码

#pragma once

#include <ntifs.h>

/*

 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 *                                                                                 *                                                                                *

 * 更多游戏逆向视频www.yxfzedu.com                                                 *

 *                                                                                 *

 * 有任何问题请发邮件至service@yxfzedu.com                                         *

 *                                                                                 *

 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 */

#pragma pack(1)     //SSDT表的结构

typedef struct ServiceDescriptorEntry {

    unsigned int* ServiceTableBase;

    unsigned int* ServiceCounterTableBase; //Used only in checked build

    unsigned int NumberOfServices;

    unsigned char* ParamTableBase;

} ServiceDescriptorTableEntry_t, * PServiceDescriptorTableEntry_t;

#pragma pack()

typedef NTSTATUS (*pNtOpenProcess)(

    OUT PHANDLE ProcessHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes,

    IN PCLIENT_ID ClientId OPTIONAL);

ULONG g_OpenProcess;

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

//恢复内存保护

VOID PageProtectOn() {

    __asm {

        mov eax, cr0;

        or eax, 0x10000;

        mov cr0, eax;

        sti;//开启中断

    }

}

//去掉内存保护

VOID PageProtectOFF() {

    __asm {

        cli;//关闭中断,防止线程切换

        mov eax, cr0;

        and eax,not 0x10000;

        mov cr0, eax;

    }

}

//

ULONG GetProcessNameOffset()

{

    PEPROCESS curproc;

    ULONG procNameOffset;

    //获取EPROCESS结构的地址

    curproc = PsGetCurrentProcess();

    for (int i = ; i < ; i++)

    {

        if (!strncmp("explo", (PCHAR)curproc + i, strlen("explo")))

        {

            procNameOffset = i;

            return procNameOffset;

        }

    }

    return ;

}

BOOLEAN ProtectProcess(HANDLE ProcessId) {

    PEPROCESS Process;

    //HANDLE ProcessId = 100;

    if (ProcessId == ) {

        return FALSE;

    }

    NTSTATUS ProcessByProcessIdStatus = PsLookupProcessByProcessId(ProcessId, &Process);

    if (ProcessByProcessIdStatus != STATUS_SUCCESS)

    {

        KdPrint(("yxfzedu:根据PID获取进程对象失败 \n"));

        return FALSE;

    }

    PEPROCESS pEprocess = PsGetCurrentProcess();

    KdPrint(("yxfzedu %s \n", (UCHAR*)pEprocess + 0x16c));

    if(strstr((char*)pEprocess + 0x16c,"TraceMe")!=){

        ObDereferenceObject(Process);

        return TRUE;

    }

    ObDereferenceObject(Process);

    return FALSE;

}

NTSTATUS MyNtOpenProcess(

    OUT PHANDLE ProcessHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes,

    IN PCLIENT_ID ClientId OPTIONAL) {

    KdPrint(("yxfzedu: 进入到了MyNtOpenProcess! \n"));

    KdPrint(("yxfzedu: ClientId->UniqueProcess=%d \n", ClientId->UniqueProcess));

    if (ClientId->UniqueProcess == (HANDLE))

    {

        return STATUS_UNSUCCESSFUL;

    }

    /*ULONG offse= GetProcessNameOffset();

    KdPrint(("yxfzedu:%d\n",offse));*/

    //PEPROCESS pEprocess =  PsGetCurrentProcess();

    //KdPrint(("yxfzedu %s \n", (UCHAR*)pEprocess + 0x16c));

    NTSTATUS status = ((pNtOpenProcess)g_OpenProcess)(ProcessHandle, DesiredAccess, ObjectAttributes,ClientId);

    return status;

}

NTSTATUS HookOpenProcess() {

    PageProtectOFF();

    g_OpenProcess = KeServiceDescriptorTable.ServiceTableBase[];

    KeServiceDescriptorTable.ServiceTableBase[] = (ULONG)MyNtOpenProcess;

    PageProtectOn();

    /*for (unsigned int i = 0; i < KeServiceDescriptorTable.NumberOfServices; i++)

    {

       KdPrint(("yxfzedu: 索引号【%d】函数地址=%X \n",i, KeServiceDescriptorTable.ServiceTableBase[i]));

    }*/

    return STATUS_SUCCESS;

}

VOID UnHook() {

    PageProtectOFF();

    KeServiceDescriptorTable.ServiceTableBase[] = g_OpenProcess;

    PageProtectOn();

    KdPrint(("yxfzedu:HookOpenProcess 以还原!"));

}

更多游戏逆向视频www.yxfzedu.com

HOOK SSDK的更多相关文章

  1. svnserver hook python

    在使用中可能会遇到的错误排除 :1.Error: svn: 解析"D:\www\test"出错,或svn: E020024: Error resolving case of 'D: ...

  2. Android Hook技术

    原文:http://blog.csdn.net/u011068702/article/details/53208825 附:Android Hook 全面入侵监听器 第一步.先爆项目demo照片,代码 ...

  3. Frida HOOK微信实现骰子作弊

    由于微信摇骰子的功能在本地进行随机后在发送,所以存在可以hook掉判断骰子数的方法进行修改作弊. 1.frida实现hook java层函数1)写个用来测试的demo,当我们点击按钮的时候会弹出窗口显 ...

  4. java的关闭钩子(Shutdown Hook)

    Runtime.getRuntime().addShutdownHook(shutdownHook);    这个方法的含义说明:        这个方法的意思就是在jvm中增加一个关闭的钩子,当jv ...

  5. IDT HOOK思路整理

    IDT(中断描述符表)分为IRQ(真正的硬件中断)和软件中断(又叫异常). HOOK的思路为,替换键盘中断处理的函数地址为自己的函数地址.这样在键盘驱动和过滤驱动之前就可以截获键盘输入. 思路确定之后 ...

  6. Android Hook 借助Xposed

    主要就是使用到了Xposed中的两个比较重要的方法,handleLoadPackage获取包加载时候的回调并拿到其对应的classLoader:findAndHookMethod对指定类的方法进行Ho ...

  7. iOS App 无代码入侵的方法hook

    继续Objective-C runtime的研究 最近公司项目在做用户行为分析 于是App端在某些页面切换,交互操作的时候需要给统计系统发送一条消息 在几十个Controller 的项目里,一个一个地 ...

  8. Hook机制里登场的角色

    稍有接触过 WordPress 主题或插件制作修改的朋友,对 WordPress 的Hook机制应该不陌生,但通常刚接触WordPress Hook 的新手,对其运作原理可能会有点混乱或模糊.本文针对 ...

  9. java hook

    linux下 hook的触发,需要 发送信号为15. 后续补充具体内容.

随机推荐

  1. kubernetes监控prometheus配置项解读

    前言 文中解决两个问题: 1. kubernetes官方推荐的监控 prometheus 的配置文件, 各项是什么含义 2. 配置好面板之后, 如换去配置 grafana 面板 当然这两个问题网上都有 ...

  2. 028_go语言中的超时处理

    代码演示 package main import "fmt" import "time" func main() { c1 := make(chan strin ...

  3. 010_go语言中的maps映射(字典)

    代码演示 package main import "fmt" func main() { m := make(map[string]int) m["k1"] = ...

  4. Pytorch_第八篇_深度学习 (DeepLearning) 基础 [4]---欠拟合、过拟合与正则化

    深度学习 (DeepLearning) 基础 [4]---欠拟合.过拟合与正则化 Introduce 在上一篇"深度学习 (DeepLearning) 基础 [3]---梯度下降法" ...

  5. Vue + ccropper.js裁切图片(vue-cropper)

    按原比例裁剪图片并且不失真. 安装: cnpm install vue-cropper --save-dev 使用: <template> <div style="disp ...

  6. 关于手机数码圈KOL的一两点感想

    复工以来,高峰时段9号线地铁上的人依旧不少,安全距离啥的肯定是不用想了,只是从原来的4G手机换成5G手机以后在某些站能接收到5G信号,我终于能在一些原来根本没信号的站里愉快的刷一刷微博和酷安了. 但是 ...

  7. 我搭的神经网络不work该怎么办!看看这11条新手最容易犯的错误

    1. 忘了数据规范化 2. 没有检查结果 3. 忘了数据预处理 4. 忘了正则化 5. 设置了过大的批次大小 6. 使用了不适当的学习率 7. 在最后一层使用了错误的激活函数 8. 网络含有不良梯度 ...

  8. C#算法设计排序篇之03-直接插入排序(附带动画演示程序)

    直接插入排序(Straight Insertion Sort) 该文章的最新版本已迁移至个人博客[比特飞],单击链接 https://www.byteflying.com/archives/679 访 ...

  9. # c++运算符重载之 前置++, 后置++, 负号运算符, 类型转换函数, 以及输入输出运算符

    c++运算符重载之 前置++, 后置++, 负号运算符, 类型转换函数, 以及输入输出运算符 标签(空格分隔): c++ 前言 我在c++学习的过程中, 对这几个不太常见的运算符重载不太会写.出现了很 ...

  10. vue cli 中关于vue.config.js中chainWebpack的配置

    Vue CLI  的官方文档上写:调整webpack配置最简单的方式就是在vue.config.js中的configureWebpack选项提供一个对象. Vue CLI 内部的 webpack 配置 ...