SSDT

windbg 命令集 总结

strcteprocessdt-v-rntdll!_peb(windows2003下改为:dt-v-rnt!
laokaddk·2010-06-24 20:53

windbg 命令集 总结

strcteprocessdt-v-rntdll!_peb(windows2003下改为:dt-v-rnt!
laokaddk·2010-06-24 20:53

为什么win32k.sys在System进程空间无法访问

为什么win32k.sys在System进程空间无法访问 玩过ShadowSSDTHook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个
laokaddk·2010-06-24 19:36

为什么win32k.sys在System进程空间无法访问

为什么win32k.sys在System进程空间无法访问 玩过ShadowSSDTHook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个
laokaddk·2010-06-24 19:36

Rootkit Unhooker驱动逆向分析

1.SSDT检测这个功能有三个IoControlCode与之对应,他们分别是22000fh(拷贝KeServiceDescriptorTable);220007h(拷贝KeServiceDescriptorTable
lwglucky·2010-06-22 15:45

Rootkit Unhooker驱动逆向分析

1.SSDT检测这个功能有三个IoControlCode与之对应,他们分别是22000fh(拷贝KeServiceDescriptorTable);220007h(拷贝KeServiceDescriptorTable
lwglucky·2010-06-22 15:45

谈谈NP和HS的通用unhook

t=59324祝各位新年快乐 一边听音乐一边写代码真的很舒服阿很舒服 先简单说以下,NP和HS都hook了以下一些SSDT什么是SSDT
lwglucky·2010-06-04 21:04

谈谈NP和HS的通用unhook

t=59324祝各位新年快乐 一边听音乐一边写代码真的很舒服阿很舒服 先简单说以下,NP和HS都hook了以下一些SSDT什么是SSDT
lwglucky·2010-06-04 21:04

给主防来个釜底抽薪

只知道她有一套信息采集系统(SSDT/SHADOW HOOK ,IAT HOOK, EAT HOOK, INLINE HOOK, NotifyRoutine,系统消息钩子),并巧妙利用堆栈回溯来获取更多信息
lwglucky·2010-06-04 21:47

给主防来个釜底抽薪

只知道她有一套信息采集系统(SSDT/SHADOW HOOK ,IAT HOOK, EAT HOOK, INLINE HOOK, NotifyRoutine,系统消息钩子),并巧妙利用堆栈回溯来获取更多信息
lwglucky·2010-06-04 21:47

查找SSDT HOOK的过程

lkd>ddkeservicedescriptortable808a8320 80834bf0000000000000012880835094  //SSDT表808a8330 00000000000000000000000000000000808a8340
laokaddk·2010-04-23 16:44

查找SSDT HOOK的过程

lkd>ddkeservicedescriptortable808a8320 80834bf0000000000000012880835094  //SSDT表808a8330 00000000000000000000000000000000808a8340
laokaddk·2010-04-23 16:44

驱动HOOK SSDT函数(二)

typedefstruct_SSDT_HOOK_DATA{ PULONG  pulAddress;                    //在SSDT表中要HOOK的位置 ULONG   ulRealValue
laokaddk·2010-04-22 11:24

驱动HOOK SSDT函数(二)

typedefstruct_SSDT_HOOK_DATA{ PULONG  pulAddress;                    //在SSDT表中要HOOK的位置 ULONG   ulRealValue
laokaddk·2010-04-22 11:24

驱动HOOK SSDT函数(一)

#defineSEC_IMAGE        0x1000000#definePROCESSNAME_OFFSET0x174UNICODE_STRINGDrvName;typedefstruct_USER_STACK{ PVOIDFixedStackBase; PVOIDFixedStackLimit; PVOIDExpandableStackBase; PVOIDExpandableStack
laokaddk·2010-04-22 11:28

驱动HOOK SSDT函数(一)

#defineSEC_IMAGE        0x1000000#definePROCESSNAME_OFFSET0x174UNICODE_STRINGDrvName;typedefstruct_USER_STACK{ PVOIDFixedStackBase; PVOIDFixedStackLimit; PVOIDExpandableStackBase; PVOIDExpandableStack
laokaddk·2010-04-22 11:28

RootKit级别文件隐藏代码

//采用SSDTHook,稳定。。。
lwglucky·2010-03-24 01:07

RootKit级别文件隐藏代码

//采用SSDTHook,稳定。。。
lwglucky·2010-03-24 01:07

SSDT详解

本文对于SSDT的原理和作用进行细致入微的解释和说明,并且配以大量实例,相信您定会有所收获!什么是SSDT?什么是SSDT?自然,这个是我必须回答的问题。
yxyhack·2010-03-18 10:00

进程隐藏的实现

通过HookSSDT(SystemServiceDispatchTable)隐藏进程1.原理介绍:      Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。
lwglucky·2010-03-04 20:00

进程隐藏的实现

通过HookSSDT(SystemServiceDispatchTable)隐藏进程1.原理介绍:      Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。
lwglucky·2010-03-04 20:08

进程隐藏的实现

通过HookSSDT(SystemServiceDispatchTable)隐藏进程1.原理介绍:      Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。
lwglucky·2010-03-04 20:08

X64系统下的KeServiceDescriptionTable

   最近在搞64位系统驱动,虽然在64位系统上不能在进行SSDT等Hook了。但是需要用到KeServiceDescriptorTable中的东西。
whf727·2010-02-09 09:00

通过windbg 得到我们要 hook 的api 地址的方法以及 hook NtOpenProcess 的例子。。。

然后才能得到最后的使用权,为此,自己也要掌握这种很强大的编程手法,那么首先,我们应该知道的一些是,在win2000以后,对于SSDT的操作,系统都是写了保护的,那么我们首先应该做的是怎么样来解除掉它们,
xum2008·2010-01-29 19:00

inline hook 深层call ObOpenObjectByPointe的实现

//这是SSDT hook,复制NtOpenThread NtOpe
rryr007·2010-01-05 18:00

64位vista,win7中KeServiceDescriptorTable问题

    最近在移植64位驱动,原本在32位驱动中使用到了KeServiceDescTable进行SSDTHook等。但是在64位系统上是不允许进行SSDTHOOk的。
whf727·2009-12-11 15:00

Vista下的Shadow SSDT服务函数名表

"NtGdiAbortDoc","NtGdiAbortPath","NtGdiAddFontResourceW","NtGdiAddRemoteFontToDC","NtGdiAddFontMemResourceEx","NtGdiRemoveMergeFont","NtGdiAddRemoteMMInstanceToDC","NtGdiAlphaBlend","NtGdiAngleArc","N
whf727·2009-11-22 21:00

SSDT Hook的妙用-对抗ring0 inline hook

1,SSDTSSDT即系统服务描述符表,它的结构如下(参考《UndocumentWindows2000Secretes》第二章):typedefstruct_SYSTEM_SERVICE_TABLE{PVOIDServiceTableBase
whf727·2009-11-20 20:00

转关于Anti-SSDT Hook

本文主要为学习各位大牛的技术,不敢擅称原创,见谅SSDTHOOK最终是要修改KeServiceDescriptorTable的成员ServiceTableBase所指向内存空间的Nt××函数地址,那么我们就可以通过扫描这段内存空间就可以抓到
whf727·2009-11-20 20:00

转Hook Shadow SSDT

网上很多文章都有关于SSDT的完整的实现,但是没有关于ShadowSSDT的完整实现,目前最好的文章是《shadowssdt学习笔记byzhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。
whf727·2009-11-20 20:00

转shadow ssdt学习笔记

取得shadowssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copycode   typedefstruct_SYSTEM_SERVICE_TABLE
whf727·2009-11-20 19:00

Windows 7 RC - Shadow SSDT 服务名表

NtGdiAbortDocNtGdiAbortPathNtGdiAddFontResourceWNtGdiAddRemoteFontToDCNtGdiAddFontMemResourceExNtGdiRemoveMergeFontNtGdiAddRemoteMMInstanceToDCNtGdiAlphaBlendNtGdiAngleArcNtGdiAnyLinkedFontsNtGdiFontI
whf727·2009-11-20 19:00

hook未导出native api的好办法

昨天写的那个hook ssdt的驱动,用的是硬编码的办法,这样在不同的系统中由于NtShutdownSystem的服务号都不相同,所以在不同的操作系统上代码都要做修改,这个比较不爽.今天听老大PJF说有避免硬编码的方法
S.l.e!ep.¢%·2009-11-04 11:00

SSDT Hook的妙用-对抗ring0 inline hook

【原创】SSDTHook的妙用-对抗ring0inlinehook标题:【原创】SSDTHook的妙用-对抗ring0inlinehook作者:堕落天才时间:2007-03-10,15:18链接:http
S.l.e!ep.¢%·2009-10-28 22:00

HOOK SSDT Hide Process (九)Using API Enum Process

应用层的代码,与之前的代码不同之前,并没有直接使用ZwQuerySystemInformation()而是公开的APIEnumProcess#include #include #include "psapi.h"#pragma comment(lib, "psapi.lib")void PrintModules( DWORD processID ){    HMODULE hMods[1024];
S.l.e!ep.¢%·2009-10-28 14:00

HOOK SSDT Hide Process (八)

[资料]http://www.cppblog.com/sleepwom/archive/2009/10/24/99375.html继HOOKSSDTHideProcess(七)用HOOKSSDTHideProcess
S.l.e!ep.¢%·2009-10-28 14:00

HOOK SSDT Hide Process (七)

[资料]http://www.cppblog.com/sleepwom/archive/2009/10/24/99375.html继HOOKSSDTHideProcess(六)  下面这个函数有问题,运行之后
S.l.e!ep.¢%·2009-10-27 17:00

汗~~~瑞星的主动防御

[打印本页]登录->注册->回复主题->发表主题zjjmj20022007-12-0918:20别看SSDT上一大堆HOOK结果连远程线程都没防住???
S.l.e!ep.¢%·2009-10-26 19:00

HOOK SSDT Hide Process (六)

[资料]http://www.cppblog.com/sleepwom/archive/2009/10/24/99375.html在HOOKSSDTHideProcess(五)  R3已经知道ZwQuerySystemInformation
S.l.e!ep.¢%·2009-10-26 19:00

SSDT原始地址,现在地址

#include#include#include#include#include#defineibaseDD*(PDWORD)&ibaseHINSTANCEg_hInst;HWNDhWinMain,hList;#defineID_LISTVIEW104#pragmacomment(lib,"comctl32")typedefULONGNTSTATUS;#defineRVATOVA(base,off
S.l.e!ep.¢%·2009-10-26 13:00

HOOK SSDT Hide Process (五)

对HOOKSSDTHideProcess(四)的code改进了一下,支持DisplayProcess'sOwner在XP下进行测试没发现问题,但在Win7下只能显示当前用户的Process,其它用户还有一些
S.l.e!ep.¢%·2009-10-26 13:00

HOOK SSDT Hide Process (四)

EnumProcessUnderRing3taskmgr.exe就是通过以下方式EnumProcess的#include #include #include typedef long NTSTATUS;//// Unicode strings are counted 16-bit character strings. If they are// NULL terminated, Length do
S.l.e!ep.¢%·2009-10-25 20:00

HOOK SSDT Hide Process (三)

前:HOOKSSDTHideProcess(二)[新资料]SSDTHIDEProcess[旧资料]HOOKSSDT实现进程隐藏旧资料中的Hook是如此实现的VOIDHook(){    DbgPrint
S.l.e!ep.¢%·2009-10-25 16:00

【HOOK技术深入解析】

包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。  
S.l.e!ep.¢%·2009-10-25 12:00

SSDT HIDE Process

SSDTHIDEProcess收藏原文出处:http://bbs.tian6.com/redirect.php?
S.l.e!ep.¢%·2009-10-25 11:00

HOOK SSDT Hide Process (二)

[资料]http://www.cppblog.com/sleepwom/archive/2009/10/24/99375.html继HOOKSSDTHideProcess(一)从DriverEntry看起
S.l.e!ep.¢%·2009-10-25 01:00

HOOK SSDT Hide Process (一)

[资料]http://www.cppblog.com/sleepwom/archive/2009/10/24/99375.htmlWhatisSSDT?
S.l.e!ep.¢%·2009-10-24 23:00

[原创]shadow ssdt学习笔记(一)

[原创]shadowssdt学习笔记(一)文章作者:zhuwg信息来源:邪恶八进制信息安全团队(www.eviloctal.com)1。
S.l.e!ep.¢%·2009-10-24 22:00

SSDT技术,外挂制作,防毒制作

论技术,我还差得远,而且网上关于SSDT的文章也多不胜数。但是还是想自己写一下,因为我想试试我能不能用最简单的语言来描述SSDT——这个对一般来人来说比较神秘的属于内核的地带。
S.l.e!ep.¢%·2009-10-24 22:00

HOOK SSDT实现进程隐藏

HOOKSSDT实现进程隐藏(代码)#include"Driver.h"#pragma  pack(1)typedefstruct_SSDT_TABLE{  PVOID  ServiceTableBase
S.l.e!ep.¢%·2009-10-24 21:00
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他