驱动Hook ZwTerminateProcess(mdl方式)

最新推荐文章于 2025-03-28 16:02:46 发布
最新推荐文章于 2025-03-28 16:02:46 发布
阅读量1.8k 收藏 2
点赞数

http://www.cnblogs.com/zhujian198/archive/2010/08/16/1800760.html


#include "ntddk.h"



typedef struct _SERVICE_DESCRIPTOR_TABLE
{
    PULONG ServiceTableBase;
    PULONG ServiceCounterTableBase;
    ULONG NumberOfServices;
    PUCHAR ParamTableBase;
} SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TABLE;


__declspec(dllimport) SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;


#define SYSCALL_INDEX(Service) *(PULONG)((PUCHAR)Service+1)


#define HOOK_SYSCALL(Service, HookService, OriginalService) \
    OriginalService = (PVOID)InterlockedExchange((PULONG)&SystemServiceTable[SYSCALL_INDEX(Service)], (ULONG)HookService)


#define UNHOOK_SYSCALL(Service, HookService, OriginalService) \
    InterlockedExchange((PULONG)&SystemServiceTable[SYSCALL_INDEX(Service)], (ULONG)OriginalService)


BOOLEAN                Hooked = FALSE;
MDL                    *Mdl = NULL;
PVOID                *SystemServiceTable;




NTSYSAPI
NTSTATUS
NTAPI
ZwTerminateProcess(
                   IN HANDLE ProcessHandle,
                   IN NTSTATUS ExitStatus
                   );


typedef NTSTATUS (NTAPI *NT_TERMINATE_PROCESS)
(
 IN HANDLE ProcessHandle,
 IN NTSTATUS ExitStatus
 );


NT_TERMINATE_PROCESS PtrNtTerminateProcess;




NTSTATUS HookNtTerminateProcess(
                                IN HANDLE ProcessHandle,
                                IN NTSTATUS ExitStatus)
{
    return STATUS_ACCESS_DENIED;
}


VOID DriverUnload(
                  IN DRIVER_OBJECT *DriverObject)
{
    if(Hooked)
    {
        UNHOOK_SYSCALL(ZwTerminateProcess, HookNtTerminateProcess, PtrNtTerminateProcess);


        if(Mdl)
        {
            MmUnmapLockedPages(SystemServiceTable, Mdl);


            IoFreeMdl(Mdl);
        }
    }
}


NTSTATUS DriverEntry(
                     IN DRIVER_OBJECT *DriverObject,
                     IN UNICODE_STRING *RegistryPath)
{
    DriverObject->DriverUnload = DriverUnload;




    Mdl = IoAllocateMdl(
                        KeServiceDescriptorTable.ServiceTableBase,                 
                        KeServiceDescriptorTable.NumberOfServices * sizeof(ULONG), 
                        FALSE,                                                     
                        FALSE,                                                     
                        NULL);                                                     


    if(Mdl)
    {
        MmBuildMdlForNonPagedPool(Mdl);


        Mdl->MdlFlags |= MDL_MAPPED_TO_SYSTEM_VA;


        SystemServiceTable = MmMapLockedPages(Mdl, KernelMode);


        if(MmIsAddressValid(SystemServiceTable))
        {
            HOOK_SYSCALL(ZwTerminateProcess, HookNtTerminateProcess, PtrNtTerminateProcess);


            Hooked = TRUE;
        }
    }


    return STATUS_SUCCESS;
}
HaoYuan
关注
Windows驱动学习(三)-- 杀死进程
安全杂货铺
09-18 2877
1. 概述 我们常常遇到这种棘手的情况,使用任务管理器或一些应用程序无法将某一进程杀死。出现这种现象的原因一般是因为权限不够,若我们在驱动层调用ZwTerminateProcess来杀死这些进程,那么成功率将大大增加。 2. 驱动编写 2.1 初始化变量 2.2 DrvierEntry 在上一章,我们发现DeviceCreate和DeviceClose等函数怎么长得一模一样?我们可不可以进行代码...
HOOK ZwTerminateProcess实现进程保护
chenhao1988的专栏
04-25 5019
近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus){ ULONG pid = 0; NTSTATUS status = 0; 
深入探索Windows Hook技术:原理、内核级实现与高级应用
最新发布
@杭大大
03-28 842
Hook(钩子)是Windows系统中用于监视和拦截特定事件的核心机制,通过注入自定义代码到目标进程的消息处理流程中,开发者能够捕获并处理键盘输入、鼠标操作、窗口消息等系统事件。
SSDT HookHookZwTerminateProcess)—— 实现任务管理器无法关闭进程
walker的博客
03-06 669
本节的目的是通过驱动程序修改 ntoskrnl.exe 程序的 SSDT 表中的函数地址表,以实现 SSDT Hook 。本次的测试函数为 R3 API 函数 ZwTerminateProcess ,通过 Hook 该函数,以实现任务管理器无法强制关闭进程,只有通过进程的关闭方法才可以正常结束进程。 Hook 该函数的关键是判断 ZwTerminateProcess 函数中的进程句柄 hProcess 。当进程是通过自身的关闭方法关闭的话,该句柄的值应为 0xffffffff 或 0x00 ,而通过其他进
驱动函数的hook
qq_41071646的博客
11-13 1192
其实 驱动hook也就仅限于32位 64位有保护 类似 pg什么的 现在听大佬们讲驱动hook都已经过时了(感觉对于我这种萌新还是有参考价值的) 讲hook前 需要了解其实windows驱动编程就可以说是windows内核编程 内核除了看似很简单的错误  毕竟轻的后果就是蓝屏  后续还会出现各种各样的错误(这就体现了虚拟机和快照的好处) 然后 windows为了内核的安全 就规定很多不可写的内...
驱动开发:内核层InlineHook挂钩函数
优快云
10-31 1万+
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
HOOK graphics driver_.zip_d3d_d3d驱动hook_显卡D3D_显卡驱动_驱动源码
07-15
《深入理解D3D驱动Hook技术与显卡驱动开发》 在计算机图形学领域,Direct3D(简称D3D)是由微软公司开发的一种接口,它允许程序员直接控制硬件进行三维图形渲染。D3D驱动是连接操作系统和硬件的重要桥梁,而Hook...
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
内核模式API Hook是一种高级技术,它涉及到操作系统内核、驱动程序开发以及系统级的调试。在Windows系统中,API Hook通常用于监控或修改应用程序对特定API函数的调用行为,这种技术在软件调试、安全分析、系统监控等...
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
驱动内核模式下的apihook钩子例子,编写驱动程序.zip
03-28
本压缩包包含的资源是关于在驱动内核模式下实现API Hook的例子,这对于理解操作系统内部工作原理、开发安全软件以及进行系统级别的调试非常有价值。 "驱动内核模式下的apihook"指的是在操作系统内核层面对API调用...
Hook 显卡用户态驱动Hook DirectX3d
05-16
Hook 显卡用户态驱动Hook DirectX3d
hook驱动方式注入内核源代码
01-19
C语言写的ROOT记录器,编译通过了.#include "stdafx.h" #include "ScanCode.h" #include "DriverEntry.h" #include <stdarg.h> const WCHAR *DEVICE_NAME = L"\\Device\\MonkeyKingDeviceName"; const WCHAR *SYMOBL_NAME = L"\\??\\MonkeyKingSymbolicName"; const char *NT_DEVICE_NAME = "\\Device\\KeyboardClass0"; const char *LOG_FILE_NAME = "\\DosDevices\\c:\\MonkeyKing.txt"; int numPendingIrps = 0; /*---------------------------------------------------------------------------------------------------------------------------------------------*/ /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径 * 返回 值:返回初始化驱动状态 *************************************************************************/ STDAPI_(NTSTATUS) DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS retValue = STATUS_SUCCESS; TRACEMSG("初始化例程..."); pDriverObject->DriverUnload = OnUnload; for (INT32 i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){ pDriverObject->MajorFunction[i] = DispatchHandler; } pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; TRACEMSG("初始化例程...完成"); //创建设备。 TRACEMSG("创建设备..."); PDEVICE_OBJECT pKeyboardDevice = NULL; if (!NT_SUCCESS(retValue = CreateDevice(pDriverObject, &pKeyboardDevice))) { TRACEMSG("创建设备...失败"); return retValue; } TRACEMSG("创建设备...完成。键盘设备对象指针为:0x%x", pKeyboardDevice); //挂接设备。 TRACEMSG("挂接设备..."); if (!NT_SUCCESS(retValue = HookKeyboard(pKeyboardDevice))) { TRACEMSG("挂接设备...失败"); return retValue; } TRACEMSG("挂接设备...完成"); TRACEMSG("初始化线程..."); if (!NT_SUCCESS(retValue = InitThreadLogger(pDriverObject))) { TRACEMSG("初始化线程...失败"); return retValue; } TRACEMSG("初始化线程...完成");
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
驱动hookapi
04-19
可以hook 任意函数 ,采用内联hook
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
驱动Hook拦截系统内核调用
11-19
驱动Hook拦截系统内核调用,源码 驱动Hook拦截系统内核调用,源码
驱动开发:内核强制结束进程运行
热门推荐
优快云
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
Windows内核驱动Hook入门
2403_87755661的博客
10-05 1439
开启 Event Tracing 后,当用户层程序进行系统调用时,首先会调用PerfInfoLogSysCallEntry函数来对此次系统调用进行记录。然后才调用系统调用函数。PerfInfoLogSysCallEntry内部又会调用驱动注册的WMI_LOGGER_CONTEXT结构中的GetCpuClock指向的函数。这样就可以通过修改GetCpuClock指针为自己的代理函数,而且此时系统调用函数被放置在栈上,因此在该函数中能从栈中获取系统调用函数的值并进行修改为自己的hook函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值