SSDT

NtOpenProcess

 一般在内核SSDTHOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。
yy3166·2013-03-29 21:06

NtOpenProcess

一般在内核SSDTHOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。
yy3166·2013-03-29 21:06

Nt和Zw函数,SSDT和SST

  系统服务分发: lkd>ddKeServiceDescriptorTableShadow805634e0804e58d0000000000000011c80512114//ntoskrnl805634f0bf99f280000000000000029bbf99ff90//win32k80563500000000000000000000000000000000008056351000000000
yy3166·2013-03-29 21:23

过驱动保护第一套视频(63课)

真正过TP让CE可以附扫描.7z58.DNF驱动保护思路代码.7z55.IDT中断描述符表.7z54.驱动InLine_HOOK实例.7z53.绕过所有用户层HOOK.7z52.真正勾住Shadow_SSDT
yeahhook·2013-03-28 11:00

SSDT Hook的妙用-对抗ring0 inline hook

1,SSDT     SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):     typedef struct _SYSTEM_SERVICE_TABLE
yeahhook·2013-03-28 10:00

城里城外看SSDT

城里城外看SSDT 2007年7月5日作于京师海淀 2006年,中国互联网上的斗争硝烟弥漫。
yeahhook·2013-03-28 09:00

新的SQL Server、SharePoint和Office开发工具

对于想要开发SQLServer2012商务智能项目的开发者而言,现在能够使用最新发布的MicrosoftSQLServerDataTools——商务智能(SSDT-BI)软件进行开发了。
Jeff Martin·2013-03-14 00:00

rku逆向分析

有些收获...初学window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免,高手请飘过,希望对菜鸟学习有点帮助.1.SSDT
tqsheng·2013-02-11 21:00

dtree的使用

使用dtree     2.1 导入dtree.cssdtree.js                       3. 关键代码   3.1  大的框架代码:  
tangxininjava·2013-02-07 17:00

SSDT HOOK驱动开发(1):进程隐藏

Windows系统给我们的开发人员提供了几种列出系统中所有的进程、模块、与驱动程序的方法,最常见的也是最常用的方法就是调用系统API:CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等,他们会调用ZwQuerySystemInformation,ZwQuerySystemInformation会调用KiSystemService切入内核
woshinia·2013-01-29 13:00

SSDT HOOK驱动开发(2):进程保护

SSDTHOOK进程保护挂钩ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个是进程句柄,它指定了需要被结束的进程。
woshinia·2013-01-29 13:00

SQL Server 查询 Active Directory(2)

注意:SQLServer2012已经改称SSDT。实际上是打开了VisualStudio。新建一个项目。   单击“确定”之后,出现向导。       
jimshu·2013-01-11 16:32

error C2036:'void *' : unknown size void*和void**的区别

想必很多同志都从网上下载过SSDTHOOK驱动程序,这一份是很久之前的一份了,而且网上流行的也就这一份,里面的RtlAPI也有过时的,企图编译,可是会出现:“‘PVOID’unknownsize”这个错误
zzjxiaozi·2013-01-08 11:00

SSDT Hook的妙用-对抗ring0 inline hook

********************************************************标题:【原创】SSDT Hook的妙用-对抗ring0 inline hook  **作者
LiSteven·2012-12-20 09:00

VC++实现恢复SSDT

SSDT(SystemServicesDescriptorTable),系统服务描述符表。这个表就是一个把ring3的Win32API和ring0的内核API联系起来。
yincheng01·2012-10-24 15:00

list泛型排序的方法

publicclassDTO{    publicintID;    publicstringName;}这样定义listlist=newlist();想按照Name值排序,那该如何处理,读到这里,也许你已经想到
yang651280121·2012-09-26 13:00

进程隐藏与进程保护(SSDT Hook 实现)(一)

转载自 Zachary.XiaoZhen-梦想的天空文章目录:                 1.引子–Hook技术:2.SSDT简介:3.应用层调用Win32API的完整执行流程:4.详解SSDT
zhuo_zhibin·2012-09-18 17:00

C# datagridview 导出EXCEL 类

应用程序,模拟操作excel写入单元格.一种是用流,历遍datagridview的每一行(列与列之间增加一个"\t"),然后写入Stream.保存为一个*.xls文件.流的方法很快,下面上代码:classDTE
ibmfahsion·2012-08-21 11:00

WIN7 X64 SSDT函数获得

曾经在网上看到一片文章,在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别
cosmoslife·2012-08-20 16:42

CE+OD无法附加游戏进程的破解方法 来吧 别在为这烦恼了

CE+OD无法附加游戏进程的破解方法来吧别在为这烦恼了其实看过windows核心编程那本书的人都知道计算机编程领域那些所谓的游戏保护真的只是为难菜鸟而已,对于大鸟基本不起作用.游戏无法就是采用线程进程SSDT
frankxzb·2012-08-17 14:06

进程隐藏与进程保护(SSDT Hook 实现)(一)

文章目录:                 1.引子–Hook技术:2.SSDT简介:3.应用层调用Win32API的完整执行流程:4.详解SSDT:5.SSDT Hook原理:6.小结:          
jinxinliu1·2012-08-12 15:00

SSDT(System Services Descriptor Table)系统服务描述符表

SSDT(SystemServicesDescriptorTable),系统服务描述符表。这个表就是一个把ring3的Win32API和ring0的内核API联系起来。
linshixina·2012-08-03 15:00

0.ring0-SSDT-SSTDSHADOW原理分析、遍历随手代码

SSDT的全称是SystemServicesDescriptorTable,系统服务描述符表这个表就是一个把Ring3的Win32API和Ring0的内核API联系起来。
hgy413·2012-07-25 21:00

Windows8内核模式下开发NDIS应用-NDIS Filter讲解

还有就是:不能随意的HOOKSSDT了。在开发NDIS驱动程序的时候,WDK开发包提供了一个新的框架,叫着NDISFilterNDISFilter是一个例子工程。假入我把WDK安装在E
yincheng01·2012-07-16 16:00

360安全卫士hookport.sys简单逆向

它的数据结构是这样的:structMyHookMgr{        DWORDssdtSize;      
lionzl·2012-07-11 22:00

SSDT Hook的妙用-对抗ring0 inline hook

SSDTHook的妙用-对抗ring0inlinehook               2007/03/1212:27               |鬼仔|技术文章|占个座先标题:【转载】SSDTHook
dj0379·2012-07-11 18:00

shadow ssdt

(是第一个字段).然后关键就是这个ServiceTable..字段..关于这个指针..ShadowSSDT Hook系列的文章会说.如果其不是GUI进程则此字段不会指向ShadowSSDT (也就是KeSSSDT
lionzl·2012-07-11 10:00

Hook Shadow SSDT

網上很多文章都有關於SSDT的完整的實現,但是沒有關於Shadow SSDT的完整實現,目前最好的文章是《shadow ssdt學習筆記 by zhuwg》,我這裡的程式也很多參考了他的文章,在這裡謝謝了
lionzl·2012-07-11 10:00

SSDT Hook (璧山)

    先分析一下ZwQuerySystemInformaition这个函数,它提供给桌面app使用。他用来检索指定的系统信息。看非文档化的资料说明:它的一个参数的类型是:SYSTEM_INFORMATION_CLASS是一个枚举类型,定义了许多系统设置信息。它被用在NtQuerySystemInfomation和NtSetSystemInformaiton. 如:这个枚举类型包含:SystemB
凌子寒宵·2012-07-04 22:00

关于SSDT的详解

点这里下载本文的配套代码引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出
oldmtn·2012-07-01 19:00

360安全卫士hookport.sys简单逆向——基础

其中主要方式对SSDT和shadowSSDT安装钩子函数。但其使用了一种较为特殊的实现方法,使众多常规ARK软件很难检测出360安全卫士所的钩子。由于此方法对系统表操作很少,比较稳定。
lionzl·2012-07-01 09:00

菜鸟修炼开始

  2008年第1期夜枫《内核方法实现进程保护》就已经介绍了ring3下修改SSDT表中的NativeAPI技术,只不过实现的是进程保护,hook了不同的API函数而已,同样也是修改SSDT表的操作。 
凌子寒宵·2012-06-29 16:00

HOOK菜鸟孵出

现在开始走往高手的历程:黑客防线中有这样一句话:“HookZwSetInformationFile技术实现文件的保护技术,这个实际上就是Ring3级下修改SSDT表中的NativeAPI技术”。
凌子寒宵·2012-06-28 14:00

必备绝技——hook大法( 中 )

包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。    
cosmoslife·2012-06-28 14:00

【原创】RootKit hook之[二] SSDT hook

标题: 【原创】RootKithook之[二]SSDThook作者: combojiang时间: 2008-01-12,23:00:47链接: http://bbs.pediy.com/showthread.php
cosmoslife·2012-06-28 13:00

Hook SSDT NtOpenProcess的完整代码

以下是通过HookSSDTNtOpenProcess保护进程的完整代码,对喜欢HOOK的初学者帮助很大驱动代码Protect.C:#include"ntddk.h"#defineNT_DEVICE_NAME
cosmoslife·2012-06-28 12:00

针对 NtOpenProcess服务函数HOOK SSDT示例代码,保护记事本进程

#include////////////////////////////////////////////////////////////////////////////函数声明NTSTATUSDriverEntry(PDRIVER_OBJECTpDriverObject,PUNICODE_STRINGpRegistryPath);VOIDUnload(PDRIVER_OBJECTpDriverOb
cosmoslife·2012-06-27 23:00

一段获取ssdt表及其中函数的简单代码

一段获取ssdt表及其中函数的简单代码typedefstruct_SYSTEM_SERVICE_TABLE{PNTPROCServiceTable;//arrayofentrypointsPULONGCounterTable
cosmoslife·2012-06-22 11:06

常见编程中缩语

SSDT的全称是SystemServicesDescriptorTable,系统服务描述符表。这个表就是一个把ring3的Win32API和ring0的内核API联系起来的角色。
cosmoslife·2012-06-18 06:00

检测断开PsLoadedModuleList链的驱动

有空我还会写关于ssdt检测和修复的部分,我们可以把下面的例子在ssdt检测部分中加入,以解决一些rootkit隐藏了驱动,不能被成功枚举出来的问题PDIRECTORY_BASIC_INFORMATION
·2012-05-18 09:00

SQL Server 2012中自带的SSDT已经废除了多维数据集的浏览功能

SQLServer2008中SQL应用系列及BI学习笔记系列--目录索引在SQLServer2012自带的SQLServerDataTools(SSDT),上个版本中SQLServer2008中对应为BIDS
downmoon·2012-05-15 20:00

SQL Server 2012中自带的SSDT已经废除了多维数据集的浏览功能

SQLServer2008中SQL应用系列及BI学习笔记系列--目录索引在SQLServer2012自带的SQLServerDataTools(SSDT),上个版本中SQLServer2008中对应为BIDS
netxdiy·2012-05-15 20:00

SQL Server Denali:SSDT新功能解读

最后,SSDT计划交付一个与C#和VB.NET一
kkkkhhhh·2012-05-13 20:14

一款优秀的BIDS辅助工具-BIDS Helper

它可以适用于SQLServer2005/2008/2008R2版本对应的BIDevelopmentStudio(BIDS),也可适用于SQLServer2012自带的SQLServerDataTools(SSDT
downmoon·2012-05-09 21:00

一款优秀的BIDS辅助工具-BIDS Helper

它可以适用于SQLServer2005/2008/2008R2版本对应的BIDevelopmentStudio(BIDS),也可适用于SQLServer2012自带的SQLServerDataTools(SSDT
netxdiy·2012-05-09 21:00

城里城外看SSDT

引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下的一篇文章《DLL的远程注入技术》,在下面看到了一位名叫L4bm0s的网友说这种技术已经过时了。虽然我也曾想过拟出若干辩解之词聊作应对,不
·2012-04-11 16:00

名词解释

SSDT:SystemServiceDescriptorTable MMU:MemoryManagementUnitIRP:I/ORequestPackages IRQL:中断请求级别HAL:硬件抽象层
patdz·2012-04-10 17:52

SSDT替换ZwSetInformationFile实现保护某文件不被删除

#include typedefstruct_SDT{ PULONGServiceTableBase; PULONGServiceCounterTableBase; ULONGNumberOfService; PUCHARParamTableBase;}SDT,*PSDT; typedefNTSTATUS(__stdcall*ZWSETINFORMATIONFILE)(INHANDLEFileHa
delbboy·2012-03-31 16:00

vc是实现RootKit文件隐藏

#include"ntddk.h"#include#pragmapack(1) //SSDTTabletypedefstructServiceDescriptorEntry{       unsignedint
junwong·2012-03-09 16:00

VC实现Rootkit端口隐藏

defineNT_DEVICE_NAMEL"//Device//HidePort"#defineDOS_DEVICE_NAMEL"//DosDevices//HidePort"#pragmapack(1) //SSDT
junwong·2012-03-09 16:00
上一页 5 6 7 8 9 10 11 12 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他