谈谈对于SSDT中的API进行双层HOOK的通用处理模式

最新推荐文章于 2025-05-16 10:04:26 发布
原创 最新推荐文章于 2025-05-16 10:04:26 发布 · 860 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #api #工作 #工具

本文介绍了一种双层HOOK技术,即在不存在SSDT HOOK的情况下先安装Inline HOOK,然后安装外层SSDT HOOK。当SSDT HOOK被移除时,内层的Inline HOOK将继续生效,确保进程隐藏等操作的持续执行。
HOOK的确是门艺术,在对抗中求生存,感觉很好。。。
此处,只是说一下处理是的思路,不提供完整源码
代码:
//谈谈对于SSDT中的API进行双层HOOK的通用处理模式,示例代码:
  // 双层HOOK: 1.在不存在SSDT HOOK的情况下先安装Inline HOOK
  ...
  SetInLineHookZwQueryDirectoryFile();
  SetInLineHookZwQuerySystemInformation();
  // 双层HOOK: 2.再安装外层的SSDT HOOK,这样时即使本HOOK被其他工具恢复,内层的HOOK依然在工作着
  InHookSSDTNativeAPI();
  ...
//////////////////////////////////////////////////////////////////////////////
   .....................
////////////////////// Do any thing //////////////////////////////////////////
  // 进行进程隐藏
  if(NT_SUCCESS(ntStatus))
  {  ZWQUERYSYSTEMINFORMATION TempCheckInSSDTSpace=(ZWQUERYSYSTEMINFORMATION)SYSTEMSERVICE(ZwQuerySystemInformation);
    // 检测自己的 SSDT HOOK 是否存在,避免重复工作; 当然若一定要重复工作也可以,
    // 不会引起BSOD; 这说明代码写的健壮 ^-^.
    if(HookSSDTZwQuerySystemInformation!=TempCheckInSSDTSpace)
    {   // 当自己的SSDT HOOK被摘除时, 让Inline Hook 继续替代工作
      //if(0x81000000 > (ULONG)TempCheckInSSDTSpace) 
      HideFileFromZwQuerySystemInformation(SystemInformationClass,SystemInformation);
      if (TempCheckInSSDTSpace != OldZwQuerySystemInformation)
      {   // 若检测自己是Inline Hook到了SSDT的深层空间,则需要检测KIRQL,再进行相应处理
          // 以避免不必要的BSOD发生!
        if(DISPATCH_LEVEL >= KeGetCurrentIrql())
        //    此时不宜太占用太多CPU时间,如果是在safemon.sys的HOOK分发函数中,
          //可能将系统资源耗尽. 可以连SMM的SSDT HOOK也不放过,让Inline Hook经得起各种
        //恶劣环境的考验^-^
          DbgPrint("Rootkit: Hook Inline ZwQuerySystemInformation() Worked ok!/n");
          // 输出调试信息,证明自己正在干事.
      }
      else
      {
          DbgPrint("Rootkit: Hook Inline ZwQuerySystemInformation() Worked ok!/n");
          // 输出调试信息,证明自己正在干事.
      }    
    }
    else
    {
      DbgPrint("Rootkit: SSDT HOOK ZwQuerySystemInformation is exist, Inline Hook not need to do any thing any more!/n");
    }
  }
////////////////////// Do any thing //////////////////////////////////////////
  自己也做了个过RKU,IceSword 1.22,SnipeSword,wsyscheck0223的动画,有与体积太大将近5M,也就不传上来了,免得浪费论坛资源。
SSDTSSDT hook技术
dr0op's blog
09-07 2667
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
SSDT Hook
zhuhuibeishadiao
04-10 3377
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
hook 内核的体会
wowbell的专栏
03-02 705
<br />网上很多hook代码,尤其是Obxxxxxx系列函数,它们很邪恶,一旦hook得好,可如入无人之境,这点我深有体会啊,但是同时它们调用频繁,比如 ObReferenceObjectByxxxxxx,基本上windows的每一个操作,都会调用它。比如就简单的一个双击一下记事 本,ObReferenceObjectByxxxxxx已经被调用了,所以在进行hook的时候,如果功力不深,就容易造成BSOD。<br /><br /> 一般如果是我在动这些蛋糕的时候,我都会注意如下几个方面:<br /
ssdthook-hook
11-27
ssdthook
SSDT Hook的妙用-对抗ring0 inline hook
jingzhongrong
04-02 1340
********************************************************标题:【原创】SSDT Hook的妙用-对抗ring0 inline hook  **作者:堕落天才                                        **日期:2007年3月10号                                   **声明
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2631
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
SSDT —— Hook
weixin_48257887的博客
10-23 479
Win7 x32:注:SSDTShadow包含SSDT,在Xp系统下,SSDTShadow在SSDT上面(偏移0x40)在WIN7 x32下,SSDTShadow在SSDT下面(偏移0x40),如上图0x9C0+0x40=0xA00。
Windows内核SSDT Hook技术详解
weixin_28681379的博客
05-16 1021
SSDT(System Service Descriptor Table)是指系统服务描述表,它是Windows操作系统中用于管理系统服务调用的重要数据结构。SSDT定义了系统服务的入口点,允许系统和应用程序通过系统调用来访问各种服务。每个服务都有一个相应的索引号,通过这个索引,操作系统可以根据需要调用相应的服务。系统服务描述表(System Service Descriptor Table, SSDT)是Windows操作系统中用于存储系统服务函数地址的数据结构。
谈谈 通杀SSDT hook和Shadow SSDT hook的方法
cqyczj的专栏
04-25 1659
链 接: http://bbs.pediy.com/showthread.php?t=143987 有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从
SSDT HOOK
qq_45844442的博客
06-22 479
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT(System Service Descriptor Table)是Windows操作系统中的一个重要概念,它是系统服务的入口点,用于在用户模式下调用内核模式的服务。SSDT Hook是一种技术,通过修改SSDT中的函数指针,使得在调用原系统...
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在Windows环境中,有多种hook方式,如API Hook、Kernel HookSSDT Hook等。在本例中,主要讨论的是SSDT Hook,即对SSDT表中函数指针的修改。 4. SSDT.h 和 SSDT.cpp:这两个文件很可能是实现SSDT Hook的源代码。`....
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
09-19
1。获取ssdt函数个数 2。获取ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址和ssdt中的索引,修改ssdt表。
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
标题中的"SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss"指的是在Windows XP操作系统中关于System Service Dispatch Table (SSDT)的Hook技术。SSDT是Windows内核中一个关键的数据结构,它存储了...
SSDTHook_ssdt_SSDTHook_
10-01
SSDT(System Service Descriptor Table)是Windows内核中一个至关重要的数据结构,它是一个表,包含了操作系统提供的系统服务入口点。这些服务涵盖了进程管理、内存管理、设备驱动交互等核心功能。SSDT Hooking是一...
基于GEC6818平台的五子棋人机对战系统设计与实现
11-25
五子棋作为一种广为人知的策略性棋盘游戏,其基本规则易于掌握。在选定人机对战模式后,由程序执黑先行,用户执白应对。双方依次在棋盘上落子,任何一方在横向、纵向或斜向形成连续五个或更多同色棋子即获胜。 项目资源涵盖多个技术领域的程序代码,涉及前后端开发、移动终端应用、操作系统、智能系统、物联网技术、信息管理系统、数据存储方案、硬件设计、大数据处理、教学资料、多媒体处理及网站构建等多个方向。具体技术实例包括嵌入式平台如STM32与ESP8266,编程语言如PHP、QT、C++、Java、Python、C#,系统开发如Linux与iOS,以及电子设计自动化工具和实时操作系统等。 主要技术栈包含服务端开发语言Java、Python及Node.js,后端框架Spring Boot与Django,前端技术React、Angular与Vue,界面设计框架Bootstrap与Material-UI,数据库系统MySQL、PostgreSQL和MongoDB,缓存工具Redis,以及容器化部署方案Docker与Kubernetes。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
lv_0_20251125195629.mp4
11-25
lv_0_20251125195629.mp4
numpy、pandas、sklearn、pytorch等数据分析工具的一些使用技巧
11-25
NumPy数组操作实战技巧 numpy、pandas、sklearn、pytorch等数据分析工具的一些使用技巧
中国Cassandra数据库用户组开源社区项目-专注于Apache-Cassandra分布式NoSQL数据库技术研究与实践-提供技术文档下载与源码解析-集成Titan图数据库与Lu.zip
最新发布
11-25
Buffer内存管理实战技巧中国Cassandra数据库用户组开源社区项目_专注于Apache_Cassandra分布式NoSQL数据库技术研究与实践_提供技术文档下载与源码解析_集成Titan图数据库与Lu.zip中国Cassandra数据库用户组开源社区项目_专注于Apache_Cassandra分布式NoSQL数据库技术研究与实践_提供技术文档下载与源码解析_集成Titan图数据库与Lu.zip
C++ 中如何精确实现API函数的HOOK
SSDT Hook主要用于ring0级别,因此对于普通应用程序开发而言,它的实现相对较为复杂且风险较高。 - **使用inline hook技术** Inline Hook是一种将目标函数的入口代码替换为跳转指令的技术,从而实现对目标函数的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值