一、效果图

二、分析

这里对NtCreateProcessEx做拦截,用WinDbg来定位该函数在SSDT中的记录地址:

: kd> dd KeServiceDescriptorTable

8055d700    0000011c 805058c4

8055d710

8055d720

8055d730

8055d740    bf80c0b6

8055d750  f8399a80 f82ffb60 820f06b0 806f70c0

8055d760  071d8498  0b14f8a6

8055d770   01cf525a

: kd> dd  + 0x30 *

  805d2136  805ac3ae

  805c49b6 805d1fd4  805fa0e6

  805a60f4 80643f58 806440a8

   806170d6 80577c2c 80624c16

  805f5958 80624de6 8057a24a

  805befc4 805edd88 806170e4 80624fc6

  806170c8  805b4c9e 805edf34

  8061660c 80577cf8 805b7806 8062549a

: kd> u 805d2136

nt!NtCreateProcessEx:

805d2136 6a0c            push    0Ch

805d2138 68e0b84d80      push    offset nt!ObWatchHandles+0x684 (804db8e0)

805d213d e83eaaf6ff      call    nt!_SEH_prolog (8053cb80)

805d2142 64a124010000    mov     eax,dword ptr fs:[00000124h]

805d2148 33d2            xor     edx,edx

805d214a     cmp     byte ptr [eax+140h],dl

805d2150             je      nt!NtCreateProcessEx+0x51 (805d2187)

805d2152 8955fc          mov     dword ptr [ebp-],edx

三、源代码

#include <ntddk.h>

typedef struct _SERVICE_DESCRIPTOR_TABLE

{

    PULONG    ServiceTableBase;

    PULONG    ServiceCounterTableBase;

    ULONG    NumberOfServices;

    PUCHAR    ParamTableBase;

}SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TALBLE;

extern PSERVICE_DESCRIPTOR_TALBLE KeServiceDescriptorTable;

typedef NTSTATUS (*NTCREATEPROCESSEX)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, HANDLE, ULONG, HANDLE, HANDLE, HANDLE, ULONG);

//保存NtCreateProcessEx函数的地址

NTCREATEPROCESSEX ulNtCreateProcessEx = ;

//在指针数组中NtCreateProcessEx的地址

ULONG ulNtCreateProcessExAddr = ;

VOID UN_PROTECT()

{

    _asm

    {

        push    eax

        mov        eax,0FFFEFFFFh

        mov        CR0,eax

        pop        eax

    }

}

VOID RE_PROTECT()

{

    _asm

    {

        push    eax

        mov        eax,CR0

        or        eax,0FFFEFFFFh

        mov        CR0,eax

        pop        eax

    }

}

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)

{

    UN_PROTECT();

    //替换NtCreateProcessEx的地址为MyNtCreateProcessEx

    *(PULONG)ulNtCreateProcessExAddr = (ULONG)ulNtCreateProcessEx;

    RE_PROTECT();

}

NTSTATUS MyNtCreateProcessEx

(

    __out        PHANDLE                ProcessHandle,

    __in        ACCESS_MASK            DesiredAccess,

    __in_opt    POBJECT_ATTRIBUTES    ObjectAttributes,

    __in        HANDLE                ParentProcess,

    __in        ULONG                Flags,

    __in_opt    HANDLE                SectionHandle,

    __in_opt    HANDLE                DebugPort,

    __in_opt    HANDLE                ExceptionPort,

    __in        ULONG                JobMemberLevel

)

{

    NTSTATUS Status = STATUS_SUCCESS;

    KdPrint(("Enter MyNtCreateProcessEx! \r\n"));

    Status = ulNtCreateProcessEx(ProcessHandle,

        DesiredAccess, ObjectAttributes, ParentProcess,

        Flags, SectionHandle, DebugPort, ExceptionPort, JobMemberLevel);

    return Status;

}

VOID HookCreateProcess()

{

    ULONG ulSsdt = ;

    //获取SSDT

    ulSsdt = (ULONG)KeServiceDescriptorTable->ServiceTableBase;

    //获取NtCreateProcessEx地址的指针

    ulNtCreateProcessExAddr = ulSsdt + 0x30 * ;

    //备份NtCreateProcessEx的原始地址

    ulNtCreateProcessEx = (NTCREATEPROCESSEX)*(PULONG)ulNtCreateProcessExAddr;

    UN_PROTECT();

    //替换NtCreateProcessEx的地址为MyNtCreateProcessEx

    *(PULONG)ulNtCreateProcessExAddr = (ULONG)MyNtCreateProcessEx;

    RE_PROTECT();

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)

{

    NTSTATUS Status = STATUS_SUCCESS;

    pDriverObject->DriverUnload = DriverUnload;

    HookCreateProcess();

    return Status;

}

SSDT Hook的更多相关文章

  1. SSDT Hook实现简单的进程隐藏和保护【转载】

    原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 Alo ...

  2. SSDT Hook结构

    目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3与 ...

  3. 进程隐藏与进程保护(SSDT Hook 实现)(二)

    文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ri ...

  4. 进程隐藏与进程保护(SSDT Hook 实现)(一)

    读了这篇文章终于明白大致怎么回事了 文章目录:                   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4 ...

  5. SSDT Hook实现内核级的进程保护

    目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3与 ...

  6. 进程隐藏与进程保护(SSDT Hook 实现)(三)

    文章目录: 1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结: 1. 引子: 关于这个 SSDT Hook 实现进程 ...

  7. 通过SSDT HOOK实现进程保护和进程隐藏

    ---恢复内容开始--- 首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧...... SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用 ...

  8. X86 下的SSDT HOOK

    目录 SSDTHOOK 1.SSDTHOOK 原理. 1.x32下的SSDT HOOK 2.SSDT HOOK代码 3.结果 4.总结 SSDTHOOK 1.SSDTHOOK 原理. x32下,直接获 ...

  9. Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)

    SHADOW SSDT HOOK HOOK 和 UNHOOK SHADOW SSDT 跟之前的 HOOK/UNHOOK SSDT 类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还 ...

  10. HOOK技术之SSDT hook(x86/x64)

    x86 SSDT Hook 32位下进行SSDT Hook比较简单,通过修改SSDT表中需要hook的系统服务为自己的函数,在自己的函数中进行过滤判断达到hook的目的. 获取KeServiceDes ...

随机推荐

  1. 关于 MySQL 的 boolean 和 tinyint(1) (转)

    boolean类型MYSQL保存BOOLEAN值时用1代表TRUE,0代表FALSE,boolean在MySQL里的类型为tinyint(1),MySQL里有四个常量:true,false,TRUE, ...

  2. java内部类的作用分析

    提起Java内部类(Inner Class)可能很多人不太熟悉,实际上类似的概念在C++里也有,那就是嵌套类(Nested Class),关于这两者的区别与联系,在下文中会有对比.内部类从表面上看,就 ...

  3. Python深入03 对象的属性

    作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明.谢谢! Python一切皆对象(object),每个对象都可能有多个属性(attribut ...

  4. DEDE织梦,文章页里的幻灯调用,能调用全部栏目的吗

    arclist 是必须要有 typeid 设置的,如果你没设置,默认是取的当前栏目的 typeid,而首页取到的是 top,所以你强制指定typeid=top就可以了.---------------- ...

  5. [ActionScript 3.0] AS3 实现XML转换成JSON

    package com.fylib.util { /** * @author Frost.Yen * @E-mail 871979853@qq.com * @create 2015-6-18 下午2: ...

  6. maven项目导入报错

    极大可能是仓库设置问题

  7. sql自动生成汉语拼音和首字母函数

    1.Sql server自动生成拼音的函数 /* 根据汉字获取全拼 1.生成所有读音临时表 2.根据Chinese_PRC_CS_AS_KS_WS 排序获取读音 */ )) ) as begin ) ...

  8. python学习(三):matplotlib学习

    前言:matplotlib是一个python的第三方库,里面的pyplot可以用来作图.下面来学习一下如何使用它的资源. 一.使用前 首先在python中使用任何第三方库时,都必须先将其引入.即: i ...

  9. 解决“C:\Windows\System32\ntdll.dll”。无法查找或打开 PDB 文件问题

    这些提示的问题完全没有必要去理会,因为一般情况下你点击本地windows调试,会报出这样问题很正常. 网上一些介绍什么要去选项卡栏勾选window连接器什么鬼,不建议用该方式,一旦你勾选那个方式虽然不 ...

  10. Android开发-API指南-<action>

    <action> 英文原文:http://developer.android.com/guide/topics/manifest/action-element.html 采集(更新)日期: ...