Windows内核新手上路2——挂钩shadow SSDT

最新推荐文章于 2023-12-12 02:41:52 发布
原创 最新推荐文章于 2023-12-12 02:41:52 发布 · 3.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #descriptor #hook #工作 #system #table

本文介绍了Windows内核新手如何挂钩Shadow SSDT进行窗口保护、安全输入和截屏保护。通过挂钩特定系统服务,如NtUserSendInput防止恶意模拟按键,NtUserOpenDesktop确保安全桌面不被渗透,NtGdiBitBlt和NtGdiStretchBlt防止截屏保护,以增强系统安全性。

Windows内核新手上路2——挂钩shadow SSDT

         文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowExNtUserGetForegroundWindowNtUserBuildHwndListNtUserQueryWindowNtUserWindowFromPointNtUserSetParentNtUserPostMessageNtUserMessageCallNtUserSetWindowLongNtUserShowWindowNtUserDestroyWindowNtUserCallHwndParamLock用于窗口保护,挂钩了NtUserSendInputNtUserGetAsyncKeyStateNtUserOpenDesktopNtUserTranslateMessage用于安全输入,挂钩NtGdiBitBltNtGdiStretchBlt用于截屏保护。

 

a)      Shadow SSDT简介

Shadow SSDT,亦可称SSSDT,英文全名Shadow System Services Descriptor Table,中文直译阴影系统服务描述表Shadow SSDT管的是图形、用户相关的函数(gdi32.dlluser32.dll)。

SSDT SHANDOW的结构跟SSDT的结构类似(见Windows内核新手上路1——挂钩SSDT

最低0.47元/天 解锁文章
8.FindWindow(SSDT Shadow HOOK)
Mikasys的博客
11-05 1174
待更。。
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 2590
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
WINDOWS内核学习笔记1—Shadow SSDT
rosykee的专栏
10-09 1026
近期学习内核
做X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2594
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
使用x64实现ssdtshadowssdt的inlinkhook技术
综合上述信息,“x64 ssdt shadowssdt inlinkhook”是一个涉及系统底层功能挂钩的技术话题,需要有深厚的Windows内核知识和C/C++编程能力,同时还需要对WDK工具链有深入的理解。Shadow SSDT、In-Link Hook以及对应的...
Hook ShadowSSDT Ring3
11-28
总的来说,Hook ShadowSSDT Ring3是Windows系统中一种高级的调试和监控技术,它涉及操作系统内核的理解、内存操作和函数拦截等复杂概念。通过掌握这一技术,你可以更深入地了解系统行为,同时也要警惕其潜在的安全...
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 3018
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
win10 tagWnd部分成员逆向(窗口隐藏,窗口保护)
zhuhuibeishadiao
06-04 7743
题外话:窗口隐藏:效果就是spy++ 彗星小助手发现不了窗口,但是窗口确实存在.(副作用:不透明窗口,鼠标不穿透窗口白屏或无反应,进程退出蓝屏(如果恢复了就不会)) 一大波黑产在路上了??? 怎么隐藏呢? 跟断链一致,前一个的下一个等于当前的下一个,后一个的前一个等于当前的前一个.已经说的很明白了! 另外在17763及以上,在你内核修改是木有效果的哦.具体可以自己研究一下应用层的tagWn...
内核层获取窗口HWND
陈刚编程心得与知识集
03-02 1185
使用ZwQuerySystemInformation函数 根据SystemProcessesAndThreadsInformation遍历到PID, 然后用SystemHandleInformation遍历找到匹配PID的HANDLE, 怎么根据HANDLE找到主窗口的HWND
关于win7下r3窗口进程保护的一些方式
被遗弃的庸才博客
08-06 2530
背景 随着Windows PG保护的出现,过去内核挂钩inline hook的时代逐渐远去,hook OpenProcess的日子也一去不复返了。那么,如果想在Windows操作系统上不那么轻易的被结束掉(这里主要考虑不在r3被结束,都在内核还干不掉你),有没有什么方法? 常见方式 通常情况下如果是在r0,注册一个ObRegisterCallbacks回调,对PROCESS_TERMINATE权限进行限制,就能解决别人调用TerminateProcess结束进程的情况。 if (pOperatio
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 606
在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
程序防多开之二:程序窗口检测
RitMan的博客
12-12 2354
通过循环调用NtUserFindWindowEx()来获取窗口句柄,并通过窗口句柄获取PID,实现多开检测.
Hook Shadow SSDT
06-03 1435
作 者: sislcb时 间: 2008-06-02,23:21链 接: http://bbs.pediy.com/showthread.php?t=65931网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shado
搞定QQ游戏系列驱动保护TesSafe.sys
ccx_john的专栏
01-07 2591
1.用RKU看一下SSDTSSDTShadow,发现SSDT并没有被HOOKSSDTShadow HOOK了5个调用: NtUserBuildHwndList NtUserFindWindowEx NtUserGetDC NtUserGetDCEx NtUserGetForegroundWindow 想也不用想,肯定是为了防止其他软件找到他的窗口。 解决方法:在TesSa
[ScyllaHide] 04 ScyllaHide配置报错原因定位
kinghzking的专栏
12-21 999
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关反调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 ScyllaHide配置报错原因定位 使用OD进行调试的时候,一直报错,如下图所示: 下面我们一步一步的开始分析错误原因,分享下解决问题的思路,希望对大家有一定的帮助。 定位问题 通过关键字“[ScyllaHide] NtUser* API Addresses are m
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值