读取无保护的SSDT表中的NtOpenProcess函数的当前地址

最新推荐文章于 2024-10-18 10:24:44 发布
最新推荐文章于 2024-10-18 10:24:44 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: SSDT 驱动 NtOpenProcess 文章标签: 驱动 SSDT NtOpenProcess
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/junning51/article/details/9079851
本文详细介绍了驱动程序的开发流程,包括驱动初始化、设备创建、卸载操作及IRP处理等关键步骤,提供了完整的代码实现及注释,帮助开发者深入理解驱动程序的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

// 无技术含量,是抄来的大笑,驱动已入门的请飘过


/************************************************************************

* 文件名称:Driver.h                                                 
* 作    者:
* 完成日期:
*************************************************************************/


#pragma once  //保证头文件只被编译一次 


#include <ntddk.h>


#define ULONG unsigned long
#define PAGEDCODE code_seg("PAGE") /*表示内存不足时,可以被置换到硬盘 的代码段*/
#define INITCODE code_seg("INIT")  /*指的代码运行后 就从内存释放掉 的代码段*/


//结构体声明


typedef struct _ServiceDescriptorTable {
PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 
//包含着 SSDT 中每个服务被调用次数的计数器,这个计数器一般由sysenter 更新 
PVOID ServiceCounterTable;
unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目  
PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表 
}*PServiceDescriptorTable;  
 extern PServiceDescriptorTable KeServiceDescriptorTable; 


// 函数声明


NTSTATUS CreateDevice (IN PDRIVER_OBJECT pDriverObject);
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject);
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,

IN PIRP pIrp);


/*******************************************************************************************************************************************************/

/****************************************************************Driver.c*******************************************************************************/

/************************************************************************
* 文件名称:Driver.c                                           
* 作    者:
* 完成日期:
*************************************************************************/


#include "Driver.h"


/************************************************************************
* 函数名称:DriverEntry
* 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象
* 参数列表:
      pDriverObject:从I/O管理器中传进来的驱动对象
      pRegistryPath:驱动程序在注册表的中的路径
* 返回 值:返回初始化驱动状态
*************************************************************************/
#pragma INITCODE  //表示内存不足时,可以被置换到硬盘 的代码段
NTSTATUS DriverEntry (
IN PDRIVER_OBJECT pDriverObject,
IN PUNICODE_STRING pRegistryPath
{

NTSTATUS status;
LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr; 
KdPrint(("驱动成功被加载中...............\n"));
#if DBG
_asm int 3 
#endif
//读取SSDT表
// 读取SSDT表中索引值为0x7A的函数
//[KeServiceDescriptorTable]+0x7a*4
t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
KdPrint(("当前ServiceTableBase地址为%x \n",t_addr));
SSDT_Adr=(PLONG)(t_addr+0x7A*4);
KdPrint(("当前t_addr+0x7A*4=%x \n",SSDT_Adr)); 
SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;
KdPrint(("当前SSDT_NtOpenProcess_Cur_Addr地址为%x \n",SSDT_NtOpenProcess_Cur_Addr));


//注册其他驱动调用函数入口
pDriverObject->DriverUnload = HelloDDKUnload;
pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine;
pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine;
pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKDispatchRoutine;
pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = HelloDDKDispatchRoutine;

//创建驱动设备对象
status = CreateDevice(pDriverObject);


KdPrint(("DriverEntry end\n"));
return status;
}


/************************************************************************
* 函数名称:CreateDevice
* 功能描述:初始化设备对象
* 参数列表:
      pDriverObject:从I/O管理器中传进来的驱动对象
* 返回 值:返回初始化状态
*************************************************************************/
#pragma INITCODE //指的代码运行后 就从内存释放掉
NTSTATUS CreateDevice (
IN PDRIVER_OBJECT pDriverObject) 
{
NTSTATUS status;
PDEVICE_OBJECT pDevObj;//用来返回创建设备

// 创建设备名称 
UNICODE_STRING devName;     // 用于存放设备名称 
UNICODE_STRING symLinkName; // 用于存放符号链接名称

// 对devName初始化字串为 "\\Device\\junDDKDevice" 
RtlInitUnicodeString(&devName,L"\\Device\\junDDKDevice");

// 创建设备 
status = IoCreateDevice( pDriverObject,
0,
&devName,
FILE_DEVICE_UNKNOWN,
0, TRUE,
&pDevObj );
if (!NT_SUCCESS(status))
{
if (status==STATUS_INSUFFICIENT_RESOURCES)
{
KdPrint(("资源不足 STATUS_INSUFFICIENT_RESOURCES"));
}
if (status==STATUS_OBJECT_NAME_EXISTS )
{
KdPrint(("指定对象名存在 STATUS_OBJECT_NAME_EXISTS"));
}
if (status==STATUS_OBJECT_NAME_COLLISION)
{
KdPrint(("对象名有冲突 STATUS_OBJECT_NAME_COLLISION"));
}
KdPrint(("设备创建失败......"));
return status;
}
KdPrint(("设备创建成功...++++++++"));

pDevObj->Flags |= DO_BUFFERED_IO;


// 创建符号链接 
RtlInitUnicodeString(&symLinkName,L"\\??\\junHelloDDK");
status = IoCreateSymbolicLink( &symLinkName,&devName );
if (!NT_SUCCESS(status)) // status等于0 
{
IoDeleteDevice( pDevObj );
return status;
}
return STATUS_SUCCESS;
}


/************************************************************************
* 函数名称:HelloDDKUnload
* 功能描述:负责驱动程序的卸载操作
* 参数列表:
      pDriverObject:驱动对象
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE //表示内存不足时,可以被置换到硬盘 的代码段
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject) 
{
PDEVICE_OBJECT pDev;       // 用来取得要删除设备对象
UNICODE_STRING symLinkName;// 由驱动对象得到设备对象 

pDev=pDriverObject->DeviceObject;
IoDeleteDevice(pDev); // 删除设备 

// 取符号链接名字 
RtlInitUnicodeString(&symLinkName,L"\\??\\junHelloDDK");
// 删除符号链接 
IoDeleteSymbolicLink(&symLinkName);

KdPrint(("驱动成功被卸载...OK-----------"));
DbgPrint("卸载成功");
}


/************************************************************************
* 函数名称:HelloDDKDispatchRoutine
* 功能描述:对读IRP进行处理
* 参数列表:
      pDevObj:功能设备对象
      pIrp:从IO请求包
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE /*表示内存不足时,可以被置换到硬盘 的代码段*/
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
IN PIRP pIrp) 
{
KdPrint(("进入派遣函数 ******\n"));
// 完成IRP 
pIrp->IoStatus.Status = STATUS_SUCCESS;     // 设置IRP的状态为成功 
pIrp->IoStatus.Information = 0;         // 设置操作的字节数为0 
IoCompleteRequest( pIrp, IO_NO_INCREMENT ); // 指示完成此IRP
KdPrint(("离开派遣函数......\n"));          // 打印调试信息 
return STATUS_SUCCESS; // 返回成功 
}

/**************************************************************************************************************************************/

//下面是写给自己的:

编译的时候发现一个错误

错误起因:
KdPrint(("Enter DriverEntry成功加载++++++\n"));
ULONG SSDT_NtOpenProcess_Cur_Addr;

 syntax error missing ';' before 'type'

改为:
ULONG SSDT_NtOpenProcess_Cur_Addr;
KdPrint(("Enter DriverEntry成功加载++++++\n"));

C语言进程隐藏NTOpenprocess,64位下Hook NtOpenProcess的实现进程保护 + 源码 (升级篇 )...
weixin_32893479的博客
05-23 1021
【PS: 如果在64位系统下,出现调用测试demo,返回false的情况下,请修改Hook Dll的代码】glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc, 0 , 0);//改成跟X86下一样的glhHook = SetWindowsHookEx(WH_SHELL,ShellHookProc,glhInstance, 0);2013.09.11...
NtOpenProcess
weixin_34214500的博客
03-29 4112
一般在内核SSDT HOOK的时候就是直接钩住SSDT替换NtOpenProcess地址来达到保护进程的目的。而在InlineHook中,侧需要更进一步的了解NtOpenProcess函数,才能更好的做inlinehook。 首先说说Windows中用户层 OpenProces,WIN32函数OpenProces执行后,调用NTDLL.DLL中NtOpenProces...
获取NtOpenProcess当前地址和原函数地址
weixin_30593261的博客
01-13 157
// 获取当前NtOpenProcess地址 ULONG GetCurr_Addr() { /* LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr; KdPrint(("驱动成功被加载中.............................\n")); //读取SSDT中索引值为0x7A的函...
ssdt_hook NtOpenProcess
weixin_30520015的博客
09-21 160
获取ssdt中所有函数地址 for (int i = 0; i < KeServiceDescriptorTable->NumberOfServices; i++) { KdPrint(("NumberOfService[%d]-------%X\n", i, KeServiceDescriptorTable->ServiceTableBase[...
Hook SSDT NtOpenProcess的完整代码
坦然
08-21 1541
驱动 #include "ntddk.h" #define NT_DEVICE_NAME L"\\Device\\ProtectProcess" #define DOS_DEVICE_NAME L"\\DosDevices\\ProtectProcess" #define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN
读取SSDT函数地址读取SSDT当前函数地址,检查是否被HOOK
Windows内核学习笔记
02-27 269
读取SSDT函数地址 #ifdef _cplusplus { #endif extern "C" #include <ntddk.h> #ifdef _cplusplus } #endif namespace Name2 { typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 PVOID ServiceCounterTable;/
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址中的api函数来隐藏进程
01-25
本文将讨论如何在驱动层通过替换System Service Dispatch Table (SSDT) 地址中的API函数来实现隐藏进程。 SSDT是Windows内核中的一个关键结构,它存储了系统服务函数的入口点。当用户模式的应用程序调用系统服务...
实现进程保护NtOpenProcess钩子技术研究
- 在自定义的函数中实现保护逻辑,比如检查调用者的权限,决定是否允许打开进程等。 文件列中的HookSSDT.Asm是一个汇编语言文件,可能是包含了修改SSDT和实现自定义函数的具体代码。HookSSDT.Inc可能是一个包含...
精选_SSDT Hook 之内核函数ZwOpenProcess实现监控打开进程_源码打包
03-11
SSDT(System Service Dispatch Table,系统服务调度)是Windows操作系统内核中一个至关重要的组件,它负责将用户模式下的系统调用转换为相应的内核模式处理函数。在这个主题中,“SSDT Hook 之内核函数...
HOOK NtOpenProcess 保护指定进程
05-15
在Windows中,`NtOpenProcess`的地址位于SSDT中,因此`HookSSDT`项目很可能会修改SSDT,将`NtOpenProcess`的原始入口点替换为我们的钩子函数,然后在钩子函数内部再跳转到原始入口点。 总的来说,`HOOK ...
读取SSDT和原函数地址
weixin_33826609的博客
01-21 228
今天的成果,读取了我的SSDT地址. 读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenPro...
ssdt函数索引号_读出SSDT当前函数地址
weixin_39860975的博客
12-28 147
1.4.2读出SSDT当前函数地址A、引用KeServiceDescriptorTableB、通过ServiceTableBase+偏移读出当前函数地址C、用windbg测试读取的值系统服务描述符在ntoskrnl.exe导出KeServiceDescriptorTable这个typedefstruct_ServiceDescriptorTable{PVOIDServiceTableB...
保护的属性无法直接读取
weixin_30521161的博客
09-14 215
转载于:https://www.cnblogs.com/xiaobiaomei/p/9645795.html
针对 NtOpenProcess服务函数HOOK SSDT示例代码,保护记事本进程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-27 1490
#include ////////////////////////////////////////////////////////////////////////// //函数声明 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegistryPath); VOID Unload(PDRIVER_OB
NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2345
来自:http://blog.youkuaiyun.com/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 570
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //中服务函数的总数 PUCHAR ParamTable
对运行中的进程保护
onlyfunboy的专栏
12-05 649
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会例如OD与CE无法进行如以下操作: (1)无法附加进程, (2)无法打开进程, (3)游戏进程被隐藏无法在工具中查看到, (4)内存无法读取代码 (5)内存修改后游戏掉线 (6)无法双机进行调试 (7)出现SX非法模块提示 `例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些: NtOpe...
一文读懂远程线程注入
qq_53058639的博客
10-27 209
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
防病毒和 EDR 绕过技术,总结到目前EDR绕过方法详细攻略
最新发布
若有战,召必回
10-18 2267
防病毒、反恶意软件和EDR是预防攻击的常用工具。但它们可以被绕过,本文探讨了在加载程序中实现的各种绕过技术。加载程序是一种通过绕过保护措施执行恶意负载的程序。文章将展示这些技术如何帮助渗透测试团队,并介绍各种可能的安全措施及其绕过技术 在我们的审计过程中,特别是在进行基础设施和网络渗透测试时,我们的安全专家可能需要在安装了防病毒软件的环境中运行特定的评估工具。这些工具,如用于评估Active Directory安全性的Rubeus和SharpHound等,由于其功能与实际网络攻击中可能使用的工具相
驱动层隐藏进程技术:SSDT地址函数替换方法
综上所述,驱动级隐藏进程代码通过替换SSDT地址中的函数来实现,是一种复杂的内核级技术,既可以用在正当的安全防护中,也可能被用于恶意目的。了解其工作原理和潜在风险对于系统安全和防护具有重要意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值