SSDT

API 的调用过程

OpenProcess-->ZwOpenProcess-->SSDT-->NtOpenProcesswinapi          -->    ntdll             
S.l.e!ep.¢%·2009-10-22 08:00

Using SSDT HOOK To Hide Processes

UsingSSDTHOOKToHideProcesses2009-06-0521:11原文出处:http://bbs.tian6.com/redirect.php?
S.l.e!ep.¢%·2009-10-17 12:00

一些概念

GDT(GlobalDescriptorTable)称为全局描述符表SSDT,网上有两种解释SystemServicesDescriptorTable(系统服务描述表) 和SystemServicedispatchTable
S.l.e!ep.¢%·2009-10-17 11:00

Windows内核API HOOK 之 Inline Hook

InlineHook不像用户态Hook或SSDThook(用C语言就足够),它需要在程序中嵌入汇编代码(InlineAssembly)以操作堆栈和执行内核API对应的部分汇编指令。
oneVs1·2009-10-14 20:00

java调用系统命令

*;publicclassDT{publicstaticvoidmain(String[]args)throwsIOExc
ihc523·2009-10-05 21:00

HOOK SSDT 短文一篇(通过MDL修改内存保护机制)

扫盲贴,HOOKSSDT短文一篇(通过MDL修改内存保护机制)2009-09-0523:25http://hi.baidu.com/csh0w/blog/item/f44412e8cbf12936b90e2d2b.html
S.l.e!ep.¢%·2009-09-24 11:00

驱动监控进程创建

(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateSection)SSDT索引号,(索引号从用户程序中得到)HOOKNtCreateSection()这个函数,然后通过文件句柄获得文件
S.l.e!ep.¢%·2009-09-20 22:00

内核权限,自古就是兵家必争之地

可以说和这些争夺比起来,SSDT的相关技术简直不值一提。
鹰击长空·2009-08-31 22:00

【转】瑞星2008采用的主动防御技术及弱点分析

(1)SSDTHOOK:使用了最原始也是最易恢复的SSDT挂钩方式挂钩了入下函数:ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入ZwLoadDriver:拦截正规通过
evileagle·2009-08-26 13:00

Hook SSDT

#include "ntddk.h"#define NT_DEVICE_NAME L"//Device//ProtectProcess"#define DOS_DEVICE_NAME L"//DosDevices//ProtectProcess"#define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFE
whf727·2009-08-24 14:00

vc是实现RootKit文件隐藏

#include"ntddk.h"#include#pragmapack(1) //SSDTTabletypedefstructServiceDescriptorEntry{       unsignedint
yincheng01·2009-08-17 14:00

vc是实现RootKit文件隐藏

#include "ntddk.h"#include <windef.h> #pragma pack(1)//SSDT Tabletypedef struct ServiceDescriptorEntry
winzenghua·2009-08-17 14:00

VC实现Rootkit端口隐藏

defineNT_DEVICE_NAMEL"//Device//HidePort"#defineDOS_DEVICE_NAMEL"//DosDevices//HidePort"#pragmapack(1) //SSDT
yincheng01·2009-08-17 14:00

[转载]城里城外看SSDT

看了这篇文章,觉得写得很好,很实用,怕以后想找的时候找不到了,所以转过来。感谢文章作者马锐老师。原文链接:http://www.titilima.cn/show-201-1.html引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit…
vangoals·2009-07-18 10:00

用 Thunk 实现 COM 的挂钩

顺便说一句,这个方法和内核的 SSDT 挂钩是十分类似的。其相应的实现代码也十分简单,如下所示: typedef struct _tagHookHelper { PVOID* vptr;
ijavagos·2009-07-03 12:00

讨论:java调用windows 下dos命令wmic的奇怪现象

.*; publicclassDT{ publicstaticvoidmain(String[]args
chenhua_1984·2009-06-29 16:00

idt hook 3

或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确定0x2
yaneng·2009-06-18 15:00

Delphi实现SSDT Hook

关于SSDT Hook的理论知识就不多说了。
vincentchun·2009-05-27 17:00

电脑安全防范常用软件

2.冰刃       这个就更不用多说什么了,什么SSDT,中鸽子的时候很多人用过它! 3.36
w3y6er·2009-03-30 11:55

Hook SSDT

看了《Rootkit》和《黑客防线2009》的文章,代码写了一下,有些体会:驱动程序代码:#include "ntddk.h"#define NT_DEVICE_NAME L"\\Device\\ProtectProcess"#define DOS_DEVICE_NAME L"\\DosDevices\\ProtectProcess"#define IOCTL_PROTECT_CONTROL CT
tommy·2009-03-21 16:00

跟群内某大牛聊天笔记...... FOR PspCidTable [转]

其实那个SSDT的结构能用是因为它导出了的...问题2.
S.l.e!ep.¢%·2009-01-26 22:00

跟群内某大牛聊天笔记...... FOR PspCidTable

其实那个SSDT的结构能用是因为它导出了的...问题2.
Ay's Blog@CNSSUESTC·2009-01-26 21:00

扫盲贴,HOOK SSDT 短文一篇

 标题:【原创】扫盲贴,HOOKSSDT短文一篇。作者:梧桐时间:2008-12-06,23:01链接:http://bbs.pediy.com/showthread.php?
wzsy·2008-12-19 15:00

通过直接恢复SSDT(系统服务分派表)的方式解除核心原生API钩子

简介WIN32核心RootKit通过挂钩核心原生API的方式改变了系统的行为.这项技术最典型的实现方式是更改内核的SSDT(系统服务分派表).这种更改保证了被rootkit安装的钩子函数可以预先调用初始原生
s_ongfei·2008-12-11 19:00

sptd.sys不是病毒?

    很多人遇到过sptd.sys这个东西,该程序作为一个NT内核驱动加载到系统中,而且其服务无法手工停止.它还会HookSSDT中的若干函数(比如NtOpenKey之类的),更重要的是该文件没有任何版本信息之类的
kevx·2008-12-07 21:11

SSDT Hook的妙用-对抗ring0 inline hook

1,SSDT   SSDT即系统服务描述符表,它的结构如下(参考《UndocumentWindows2000Secretes》第二章):   typedefstruct_SYSTEM_SERVICE_TABLE
geagle·2008-11-03 14:00

病毒周报(080908至080914)

www.kingzoo.com[/url])反病毒斗士报牵手广州市计算机信息网络安全协会([url]www.cinsa.cn[/url])发布:本周重点关注病毒:劫持者下载器208896”(Win32.Hack.ReSSDT.p
kingzoo·2008-09-08 12:49

第四代机器狗驱动代码

 #include#includeULONG*realssdt;#defineSEC_IMAGE  0x01000000#pragmapack(1)typedefstructServiceDescriptorEntry
iiprogram·2008-09-01 19:00

SSDT的检测与恢复

为避免检测失效(rootkit惯用的hook,inlinehook)一个有效的方法是,我们在进行每一项检测之前都确保自身所使用的函数没有被hook,这样就不得不涉及到ssdt恢复和一些inlinehook
iiprogram·2008-08-28 10:00

SSDT UnHook代码

 //CodeByXiCao#include#include"PE.h"typedefstruct_tagSSDT{   PVOIDpvSSDTBase;   PVOIDpvServiceCounterTable
iiprogram·2008-08-28 09:00

转载:关于SSDT的详解

引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解之词聊作应对,不
pipi0714·2008-07-09 14:00

U盘病毒vistaAA.exe的手动查杀方法

0E10DA72367B8F03A4F16D875FEA251D47908E1ECRC32:DCE5AE5A病毒运行后:1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT
·2008-06-11 19:54

Gh0st RAT Beta 3.6源码

心跳包机制防止意外掉线..支持HTTP和DNS上线两种方式自动恢复SSDT(这功
linkboy·2008-06-07 20:00

Gh0st RAT Beta 3.6源码

心跳包机制防止意外掉线..支持HTTP和DNS上线两种方式自动恢复SSDT(这功
linkboy·2008-06-07 20:00

5月30日病毒日报:"露萨"变种在行动 "IE大盗"来破坏

“顽梯”变种ezi运行后,执行还原系统“SSDTHOOK”的
51joy·2008-05-29 17:27

5月30日病毒日报:"露萨"变种在行动 "IE大盗"来破坏

“顽梯”变种ezi运行后,执行还原系统“SSDTHOOK
51joy·2008-05-29 17:27

“磁碟机”病毒技术分析报告

病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。
xueleifeng·2008-04-21 10:51

“磁碟机”病毒详尽分析报告

病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。
izuoyan·2008-03-27 16:00

“磁碟机”病毒详尽分析报告

病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。
wapysun·2008-03-27 16:00

对 Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名 的一点完善(ZT)

t=56830通过hook ssdt中的ZwQuerySystemInformation来实现隐藏进程已经是很老的技术
酒水不犯茶水·2007-12-27 22:00

HDM.exe手工查杀U盘病毒的方法

HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面:Quote:1.使用恢复SSDT的方式破坏杀毒软件2.IFEO映像劫持3.关闭指定窗口4.删除gho文件5.破坏安全模式,以及显示隐藏文件功能
·2007-12-07 21:10

Kaspersky 7.0 HOOK SSDT分析

Kaspersky7.0HOOKSSDT分析-卡巴驱动klif.sys逆向工程作者:CloudEmail:[email protected]一、 测试版本和环境卡巴斯基反病毒软件
shangguanwaner·2007-12-02 15:00

警惕恶性U盘病毒HDM.exe

newcenturysun)日期:2007/12/01                           (转载请保留此声明)这是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面:1.使用恢复SSDT
yuncx·2007-12-01 18:11

多款个人防火墙产品存在本地SSDT Hook漏洞

多款个人防火墙产品存在本地SSDTHook漏洞该文章转自联信软件 【绿盟科技授权,赛迪发布,谢绝任何网站转载,违者,赛迪网将保留追究其法律责任的权利!】
lianxin·2007-11-19 11:09

Hook 内核函数技术细节

刚开始看到通过SSDT来HOOKZwXXX内核函数的方法时不是很了解,等把ZwXXX反汇编后才发现技术细节.原来也没什么新鲜的,就是找到目标函数在SSDT中的位置(偏移量=位置*4),然后保存并替换偏移量处的值为自己新的函数地址就行了
Blue_Dream_·2007-09-24 08:00

卡巴斯基常用hook列表(帮助各位分析日志)

下面给出卡巴斯基的基本hook列表ssdt的services的kav_wks_hook_ssdt.GIF(55.24KB)2007-9-317:32
yuncx·2007-09-08 12:04

卡巴斯基常用hook列表(帮助各位分析日志)

下面给出卡巴斯基的基本hook列表ssdt的services的kav_wks_hook_ssdt.GIF(55.24KB)2007-9-317:32
yuncx·2007-09-08 12:04

修改SSDT来挂钩API的代码

///////////////////////////////////函数用途:修改SSDT表      /////////////////////////////////////输入:服务ID,新地址
iiprogram·2007-09-04 09:00

SSDT Hook的妙用-对抗ring0 inline hook

标题:【原创】SSDTHook的妙用-对抗ring0inlinehook作者:堕落天才时间:2007-03-10,15:18链接:http://bbs.pediy.com/showthread.php?
紫雨轩 C++·2007-08-26 23:00

如何写windows系统已保护的内存区域

PS:1)这些系统包括:windowsxp与windows2003 2)CPU提供写保护的功能是从486开始的 3)一般合法程序不包括杀毒软件,因为他们在HookSSDT中是直接改ServiceTableBase
Blue_Dream_·2007-08-23 20:00
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他