针对 NtOpenProcess服务函数HOOK SSDT示例代码,保护记事本进程

最新推荐文章于 2021-05-23 08:42:38 发布
最新推荐文章于 2021-05-23 08:42:38 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动开发学习 文章标签: hook attributes access object string include
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cosmoslife/article/details/7697892
本文介绍了一个Windows内核驱动程序如何通过修改系统服务描述表(SSDT)来Hook NtOpenProcess系统调用,从而实现对特定进程打开操作的拦截。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <ntddk.h>
//////////////////////////////////////////////////////////////////////////
//函数声明
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegistryPath);
VOID Unload(PDRIVER_OBJECT pDriverObject);
NTSTATUS        MyNtOpenProcess(OUT PHANDLE ProcessHandle,
                                                        IN ACCESS_MASK AccessMask,
                                                        IN POBJECT_ATTRIBUTES pObjatt,
                                                        IN PCLIENT_ID Client);
NTSTATUS PsLookupProcessByProcessId(IN HANDLE ProcessId,
                                                                        OUT PEPROCESS *Process);
PUCHAR        PsGetProcessImageFileName(IN PEPROCESS process);
//////////////////////////////////////////////////////////////////////////
//结构体声明
typedef struct _SystemServiceDescriptorTable 
{
        PULONG        ServiceTableBase;
        PULONG        ServiceCounterTableBase;
        ULONG        NumberOfService;
        PULONG        ParamTableBase;
}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;
extern PSystemServiceDescriptorTable KeServiceDescriptorTable;

typedef NTSTATUS (*NTOPENPROCESS)(OUT PHANDLE ProcessHandle,
                                                                                        IN ACCESS_MASK AccessMask,
                                                                                        IN POBJECT_ATTRIBUTES pObjatt,
                                                                                        IN PCLIENT_ID Client);
NTOPENPROCESS RealOpenProcess;
//////////////////////////////////////////////////////////////////////////
#pragma code_seg("INIT")
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegistryPath)
{
        NTSTATUS status = STATUS_SUCCESS;
        //**********************************************************
        //Hook        SSDT
        //**********************************************************
        PULONG        Address;
        PULONG  HookPoint;
        _asm
        {
                pushad
                mov        ebx,KeServiceDescriptorTable ;这里获取到SSDT服务的首地址
                mov        ebx,[ebx] ;将SSDT首地址值放入EBX寄存器中
                mov        eax,0x7a ;我们知道在XP系统中122号SSDT索引号为NtOpenProcess函数地址
                shl        eax,2 ;左移两位表示EAX值乘以4
                add        ebx,eax ;在SSDT基址的基础上加上偏移值就是NtOpenProcess的地址值勤
                mov        HookPoint,ebx ;将获取到的地址值赋值给HookPoint指针变量
                mov        edx,[ebx] ;将NOpenProcess函数地址值放入EDX寄存器
                mov        Address,edx ;将NOpenProcess函数地址值赋值给Address指针变量
                popad
        }
         RealOpenProcess = (NTOPENPROCESS)(Address); //这里将真实的NOpenProcess函数地址值备份保存下来
         DbgPrint("Address of Real NtOpenProcess:0x%08x\n",(Address));
         DbgPrint("Address of Fake NtOpenProcess:0x%08x\n",MyNtOpenProcess);

        //关中断,并关闭页保护属性

_asm

        {
                cli
                mov        eax,cr0
                and        eax,not 10000h
                mov        cr0,eax
        }
        *HookPoint = (ULONG)MyNtOpenProcess; //将真实的NtOpenProcess地址值替换成我们自定义函数的地址值,实现HOOK

       //打开中断,并恢复页保据属性

 _asm

        {
                mov        eax,cr0
                or        eax,10000h
                mov        cr0,eax
                sti
        }
        pDriverObject->DriverUnload = Unload; //卸载例程
        return status;
}

#pragma code_seg("PAGE")
VOID Unload(PDRIVER_OBJECT pDriverObject)

{

//没什么好说的,功能就是卸载时将SSDT中的NtOpenProcess地址值恢复回去,与上面的一样*HookPoint = (ULONG)RealOpenProcess;只不过 //这句是将真实的SSDT中的NtOpenProcess地址恢复回去

        PULONG HookPoint;
        _asm
        {
                pushad
                mov        ebx,KeServiceDescriptorTable
                mov        ebx,[ebx]
                mov        eax,0x7a
                shl        eax,2
                add        ebx,eax
                mov        HookPoint,ebx
                popad
        }
        _asm
        {
                cli
                mov        eax,cr0
                and        eax,not 10000h
                mov        cr0,eax
        }
        *HookPoint = (ULONG)RealOpenProcess;
        _asm
        {
                mov        eax,cr0
                or        eax,10000h
                mov        cr0,eax
                sti
        }
        return;
}

NTSTATUS MyNtOpenProcess(OUT PHANDLE ProcessHandle, 
                                                 IN ACCESS_MASK AccessMask, 
                                                 IN POBJECT_ATTRIBUTES pObjatt, 
                                                 IN PCLIENT_ID Client)

{

//HOOK到以后就可以做我们自己想做的事情了

        NTSTATUS status = STATUS_SUCCESS;
        PEPROCESS lpPEPROCESS;
        PUCHAR ProcessName;
        status = PsLookupProcessByProcessId(Client->UniqueProcess,&lpPEPROCESS);
        if (NT_SUCCESS(status))
        {
                ProcessName = _strupr((PCHAR)PsGetProcessImageFileName(lpPEPROCESS));
                if (strcmp(ProcessName,"NOTEPAD.EXE") == 0)
                {
                        return STATUS_ACCESS_DENIED;
                }

        }
        status = RealOpenProcess(ProcessHandle,AccessMask,pObjatt,Client);
        return status;
}
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 570
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
内核编程之SSDTHook(2)Hook NtOpenProcess实现进程保护
zuishikonghuan的博客
03-11 7582
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 上一篇博文“内核编程之SSDTHook(1)原理(地址:)”中,介绍了SSDTHook的原理,这一篇博文,我们来写一个实例,通过Hook NtOpenProcess来的实现进程保护。 我之前写过两篇Ring3下的API Inline Hook的博文,这两篇博文通过Inline
HOOK NtOpenProcess 保护指定进程
05-15
HOOK NtOpenProcess 保护指定进程
Hook NtOpenProcess
07-21
Hook NtOpenProcess 描述字数补丁
C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 1021
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
6.SSDT HOOK NtOpenProcess进程保护
Mikasys的博客
11-04 872
代码如下 #include <Ntifs.h> //存储原来的函数地址 ULONG uOldNtOpenProcess; //调用号 ULONG FuctionID = 0x7A; //要保护进程的PID ULONG PID = 1020; typedef NTSTATUS (*NTOPENPROCESS)( PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes,
HOOK SSDT NtOpenProcess 保护进程
收集学习过程中对自己有帮助的牛人文章
12-03 3291
感谢众大神分享的技术,因为几乎没参考别人的源码,所以就标题原创 但是因为这个技术肯定是前辈分搞出来的,所以就特意说明下,此乃转载耶 模板用的张帆大牛的 记录一下,以后备用
自写驱动保护XX进程HOOKSSDT32课.pdf
09-30
根据提供的文件内容和要求,接下来将详细阐述标题和描述中所述的知识点,这些知识点主要涉及操作系统驱动开发、进程保护、系统服务描述符表(SDT)钩子(Hook)技术以及相关编程实践。 ### 操作系统驱动开发 - **驱动...
汇编与驱动-采用SSDT Hook NtOpenProcess保护进程
kingswb的博客
05-01 1439
标 题: 汇编与驱动-采用SSDT Hook NtOpenProcess保护进程 作 者: organic 时 间: 2012-07-09,21:05:47 链 接: http://bbs.pediy.com/showthread.php?t=153176 作为一个热爱汇编的人被迫使用C或者C++写驱动是一件很难受的事情,特别是在做一些邪恶的事情的时候,你总会发现汇编就是一只恶魔之手,
HookNtOpenProcessLib.rar
09-11
使用inline方式,可在x86与x64上使用,需要在各自的平台上进行编译。x64的DLL在x64上运行,x86的DLL在x86上运行,也可以选择c#在any CPU上运行。
[驱动开发] 手写 r0 hookNtOpenProcess 为例)
LYSM
11-09 1828
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
SSDT HOOK,通过hook NtOpenProcess达到保护制定进程效果
huangai93的专栏
06-07 957
SSDT hook技术是一种很老的技术了,但是作为新手还是有必要知道和学习的
HOOK ntopenprocess
qq_41071646的博客
01-06 1138
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...
ssdkhookntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 972
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
通过SSDT HOOK实现进程保护进程隐藏
weixin_30878361的博客
08-31 249
---恢复内容开始--- 首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧。。。。。。   SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用,这就不清楚了,总之这个功能很不错,那么什么是SSDT呢,SSDT全称是(System Services Descriptor Table),它将ring3的Win32 API和r...
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2344
来自:http://blog.youkuaiyun.com/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 1067
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
NtOpenProcess
weixin_34214500的博客
03-29 4112
一般在内核SSDT HOOK的时候就是直接钩住SSDT表替换NtOpenProcess的地址来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
实现进程保护NtOpenProcess钩子技术研究
文件列表中的HookSSDT.Asm是一个汇编语言文件,可能是包含了修改SSDT和实现自定义函数的具体代码HookSSDT.Inc可能是一个包含通用代码或宏定义的文件。HookSSDT.obj是汇编或编译后的对象文件,而HookSSDT.rap可能是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值