对于X64 驱动 SSDT hook不能超过4GB的原因?

最新推荐文章于 2020-08-27 01:39:02 发布
最新推荐文章于 2020-08-27 01:39:02 发布
阅读量350 收藏
点赞数
分类专栏: x64驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012129783/article/details/90029630
版权

fffff80000ba1000 fffff80000bcb000 kdbazis (deferred)
fffff80003e17000 fffff800043f4000 nt (pdb symbols) c:\symbols\ntkrnlmp.pdb\F8E2A8B5C9B74BF4A6E4A48F180099942\ntkrnlmp.pdb
fffff800043f4000 fffff8000443d000 hal (deferred)
fffff88000c00000 fffff88000c5c000 volmgrx (deferred)
ntos内核模块,地址开头fffff80000ba1000, 我自己加载了一个驱动, fffff880030df000 fffff88003177000 srv (deferred) fffff88003177000 fffff8800317d000 SYS_FILE_NAME (deferred) 地址开头fffff88003177000 ,880,800很明显相差超过4GB空间,所以
SSDT hook里面的地址偏移再怎么跳转页跳转不到我们的驱动里面。
而并非所以的驱动内核占用虚拟空间4GB,胡扯

屏幕取词编程学习总结
bcbobo21cn的专栏
04-22 5620
屏幕取词的研究 现在词典市场金山词霸占了绝对优势,所以再做字典也没什么前途了。我就是这么认为的,所以我虽然 掌握了这项技术,却没去做字典软件。只做了一个和词霸相似的软件自己用,本来想拿出来做共享软件 ,但我的词库是“偷”来的,而且词汇不多,所以也就算了,词库太小,只能取词有什么用呢?而且词 霸有共享版的。但既然很多人想了解这项技术,我也不会保留。我准备分多次
x64技术之SSDT_Hook
Hades的博客
05-10 5771
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
ring0 SSDTHook 实现x64/x86
aijuzhou1959的博客
08-25 217
#include "HookSSDT.h" #include <ntimage.h> #define SEC_IMAGE 0x001000000 ULONG32 __NtOpenProcessIndex = 0; PVOID __ServiceTableBase = NULL; ULONG32 __OldNtOpenProcessOffse...
Win7 64位的SSDTHOOK(2)---64SSDT hook的实现
whatday的专栏
09-14 4045
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
64驱动SSDTHOOK教程
10-02
完整的64驱动SSDTHOOK文档资料,学习win7 64驱动很好的
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4958
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3154
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
驱动开发(9)处理缓冲I/O设备的读写请求
zuishikonghuan的博客
01-03 2862
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.youkuaiyun.com/zuishikonghuan/article/details/50413094 在上面的几篇博文中,介绍了 IRP 与派遣函数,通过例子“磁盘设备的绝对读写”演示了在应用程序中向一个设备发出I/O请求,并实现了驱动程序中处理一个I/O请求——
Windows内核解析:DOS文件名与系统结构
此外,文件系统过滤驱动和Ndis过滤驱动的开发经验也是促使作者深入研究内核函数实现的原因。 在阅读本文时,需要一定的C语言、汇编基础,以及对PE文件格式和驱动/内核程序开发的理解。文章的结构设计考虑了不同水平...
win7 64ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
src_过pg_过windowspg_64SSDThook实现方法_过PG_
09-30
WINDOWS 过PG后可修改SSDT,实现SSDT hook,采用二次挑战方式实现
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1112
64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4860
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
如何找SSDT中精准的
weixin_34235135的博客
08-24 259
2019独角兽企业重金招聘Python工程师标准>>> ...
X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2537
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
x64内核hook
liuhaidon1992的博客
01-07 1641
x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值