NtOpenProcess

过 DNF TP 驱动保护(一)

文章目录:01.博文简介:02.环境及工具准备:03.分析TP所做的保护:04.干掉NtOpenProcess中的DeepInLineHook:05.干掉NtOpenThread中的DeepInLineHook
weixin_34032827·2020-09-13 13:36

过 DNF TP 驱动保护(二)

文章目录:01.博文简介:02.环境及工具准备:03.分析TP所做的保护:04.干掉NtOpenProcess中的DeepInLineHook:05.干掉NtOpenThread中的DeepInLineHook
weixin_34404393·2020-09-10 20:21

Win64 驱动内核编程-11.回调监控进线程句柄操作

通常要挂钩三个API:NtOpenProcess、NtOpenThread、NtDuplicateObject。
TK13·2020-07-12 03:32

过游戏保护之 过TX驱动保护TesSafe.sys方法(现在可以用)3

****************************************************************************就这么多了,或许有人说,没必要那么复杂,直接恢复NtOpenProcess
pass1008·2020-06-24 19:31

过 DNF TP 驱动保护(二)

文章目录:01.博文简介:02.环境及工具准备:03.分析TP所做的保护:04.干掉NtOpenProcess中的DeepInLineHook:05.干掉NtOpenThread中的DeepInLineHook
dj0379·2018-08-23 11:52

过 DNF TP 驱动保护(一)

文章目录:01.博文简介:02.环境及工具准备:03.分析TP所做的保护:04.干掉NtOpenProcess中的DeepInLineHook:05.干掉NtOpenThread中的DeepInLineHook
dj0379·2018-08-23 11:58

过 DNF TP 驱动保护(一)

原文地址为:过DNFTP驱动保护(一)文章目录:01.博文简介:02.环境及工具准备:03.分析TP所做的保护:04.干掉NtOpenProcess中的DeepInLineHook:05.干掉NtOpenThread
kkwant·2018-07-27 16:22

Zw函数与Nt函数的分别与联系

现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。
·2015-11-11 05:50

截取密码木马制作流程

现在很多游戏都用驱动hook NtOpenProcess之类的
·2015-11-08 09:41

过 DNF TP 驱动保护(一)

干掉 NtOpenProcess 中的 Deep InLine Hook: 05
·2015-11-02 15:37

读取SSDT表和原函数地址

读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable-&
·2015-10-21 11:43

[Win32]获取QQ密码输入框所属进程ID

由于QQ的保护驱动挂钩了NtOpenProcess,因此在32位下无法在用户态通过获取QQ加载模块来判断是否是登陆框。
baggiowangyu·2013-11-12 09:00

Hook SSDT NtOpenProcess的完整代码

以下是通过HookSSDTNtOpenProcess保护进程的完整代码,对喜欢HOOK的初学者帮助很大驱动代码Protect.C:#include"ntddk.h"#defineNT_DEVICE_NAME    L"\\Device\\ProtectProcess"#defineDOS_DEVICE_NAME    L"\\DosDevices\\ProtectProcess"#defineIO
u013805103·2013-10-21 11:00

ssdt_hook NtOpenProcess

  获取ssdt表中所有函数的地址for(inti=0;iNumberOfServices;i++){    KdPrint(("NumberOfService[%d]-------%X\n",i,KeServiceDescriptorTable->ServiceTableBase[i]));} 需要这样定义typedefstruct_ServiceDescriptorTable{unsigned
·2013-09-21 21:00

64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )

64位下HookNtOpenProcess的实现进程保护+源码(升级篇)【PS:如果在64位系统下,出现调用测试demo,返回false的情况下,请修改HookDll的代码】glhHook=SetWindowsHookEx(WH_SHELL,ShellHookProc,0,0); //改成跟X86下一样的 glhHook=SetWindowsHookEx(WH_SHELL,ShellHookP
·2013-09-11 18:00

Windows内核新手上路1――挂钩SSDT

文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间
飘雪超人·2013-07-29 15:00

Windows内核新手上路1——挂钩SSDT

文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间
whatday·2013-07-29 15:00

WinDBG找不到符号路径解决方法

NtOpenProcess正常显示了,但有的执行不了,事例:一,WinDBG命令输入!process 0 0提示错误lkd> !
yy3166·2013-03-29 22:29

NtOpenProcess

 一般在内核SSDTHOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。
yy3166·2013-03-29 21:06

NtOpenProcess

一般在内核SSDTHOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。
yy3166·2013-03-29 21:06

Hook SSDT NtOpenProcess的完整代码

以下是通过HookSSDTNtOpenProcess保护进程的完整代码,对喜欢HOOK的初学者帮助很大驱动代码Protect.C:#include"ntddk.h"#defineNT_DEVICE_NAME    L"\\Device\\ProtectProcess"#defineDOS_DEVICE_NAME    L"\\DosDevices\\ProtectProcess"#defineIO
cosmoslife·2012-06-28 12:00

针对 NtOpenProcess服务函数HOOK SSDT示例代码,保护记事本进程

#include////////////////////////////////////////////////////////////////////////////函数声明NTSTATUSDriverEntry(PDRIVER_OBJECTpDriverObject,PUNICODE_STRINGpRegistryPath);VOIDUnload(PDRIVER_OBJECTpDriverOb
cosmoslife·2012-06-27 23:00

过 DNF TP 驱动保护(二)

文章目录:                 01.博文简介:02.环境及工具准备:03.分析TP所做的保护:04.干掉NtOpenProcess中的DeepInLineHook:05.干掉NtOpenThread
小宝马的爸爸·2012-06-12 09:00

windbg跟踪NtOpenProcess

过程:OpenProcess->NtOpenProcess->KiFastSystemCall->sysenterkd>untdll!NtOpenProcess ntdll!
fisher_jiang·2011-12-16 10:00

Zw函数与Nt函数的分别与联系

NtOpenProcessEvaluateexpression:2089999739=7c92dd7b可以看到,在ntdll中,ZwOpenProcess和NtOpenProcess其实是同一个函数,只不过拥有两个名称而已
evi10r·2011-09-02 10:00

VB 中调用API NTOpenProcess

Option Explicit 'ProcessHandle 为输出 其余为输入 Private Declare Function NtOpenProcess Lib "ntdll.dll
yeuego·2011-03-09 10:00

PASS TesSafe

 #include"ntddk.h"  #defineThreadLength0x190//要保存的NtOpenThread原代码的长度 #defineProcessLength0x184//要保存的NtOpenProcess
lwglucky·2010-09-15 23:16

PASS TesSafe

 #include"ntddk.h"  #defineThreadLength0x190//要保存的NtOpenThread原代码的长度 #defineProcessLength0x184//要保存的NtOpenProcess
lwglucky·2010-09-15 23:16

通过windbg 得到我们要 hook 的api 地址的方法以及 hook NtOpenProcess 的例子。。。

今天,突然想对hook进行一些学习,因为对于一些底层的操作,都是在于ANTI-HOOK。。。然后才能得到最后的使用权,为此,自己也要掌握这种很强大的编程手法,那么首先,我们应该知道的一些是,在win2000以后,对于SSDT的操作,系统都是写了保护的,那么我们首先应该做的是怎么样来解除掉它们,替换我们的执行地址,当然在这里,我们必须要知道这个结构:typedefstruct_SERVICE_DES
xum2008·2010-01-29 19:00

Syser 调试源码驱动 查看内核NTopenprocess

1.使用工具Syser1900.1178、KernelDetectivev1.3.0kd1.3,122索引号Ntopenprocess  2syser找到KeServiceDescriptorTable
·2009-12-30 20:00

从pid找到EPROCESS,NtOpenProcess是这么找的

lkd>ddnt!PspCidTable8056a760 e1001ca8000000020000000100000000//PspCidTable就是一个Handle_Table8056a770 000000000000000000000000000000008056a780 e137052f000000000000000000000000lkd>dtnt!_handle_tablee1001c
evileagle·2009-10-19 17:00

绕过nProtect[NP]读写受保护进程内存

绕过nProtect[NP]读写受保护进程内存2008-10-3013:28这几天一直在研究NP,话说NP是这个世界上最WS,最恶心的东东之一,关于内存,他HOOK了以下函数NtOpenProcess-inlineNtReadVirtualMemory-inlineNtWriteVirtualMemory-inlineKeAttachProcess-inlineKiAttachProcess-in
S.l.e!ep.¢%·2009-09-24 11:00

Zw函数与Nt函数的分别与联系

现在就以ZwOpenProcess和NtOpenProcess函数为例,详细阐述下他们的分别和联系。
whf727·2009-08-24 15:00
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他