青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

前世今非

前世五百次的回眸，換來今世的一次擦肩而過。

hook PsCreateSystemThread

很多RootKit在ring0下利用PsCreateSystemThread來創建系統線程做某些WS的事情，我們平時不利用ARK工具的話，是很難發現這些線程，在某些情況下，需要anti一些特定的rootkit，這里給出一個簡單的示例：

.h:

#pragma once

#include <ntddk.h>

typedef long LONG;

typedef unsigned char BOOL, *PBOOL;

typedef unsigned char BYTE, *PBYTE;

typedef unsigned long DWORD, *PDWORD;

typedef unsigned short WORD, *PWORD;

typedef void *HMODULE;

typedef long NTSTATUS, *PNTSTATUS;

typedef unsigned long DWORD;

typedef DWORD * PDWORD;

typedef unsigned long ULONG;

typedef unsigned long ULONG_PTR;

typedef ULONG *PULONG;

typedef unsigned short WORD;

typedef unsigned char BYTE;

typedef unsigned char UCHAR;

typedef unsigned short USHORT;

typedef void *PVOID;

typedef BYTE BOOLEAN;

#define SEC_IMAGE 0x01000000

NTSTATUS

PsLookupProcessByProcessId(

IN HANDLE ProcessId,

OUT PEPROCESS *Process

);

.c:

#include "HookPsThread.h"

/******************************************************************************

Hook PsCreateSystemThread

out adress

******************************************************************************/

//=============================================================================

// Version Define

//=============================================================================

#define EPROCESS_SIZE 1

#define PEB_OFFSET 2

#define FILE_NAME_OFFSET 3

#define PROCESS_LINK_OFFSET 4

#define PROCESS_ID_OFFSET 5

#define EXIT_TIME_OFFSET 6

//=============================================================================

// Logic Define

//=============================================================================

ULONG PsCreateSystemThreadAddr = 0;

char PsCreateSystemThreadData[5] = {0};

DWORD ProcessNameOffset;

//-----------------------------------------------------------------------------

// GetPlantformDependentInfo

//-----------------------------------------------------------------------------

DWORD GetPlantformDependentInfo( DWORD dwFlag )

{

DWORD current_build;

DWORD ans = 0;

PsGetVersion(NULL, NULL, &current_build, NULL);

switch ( dwFlag )

{

case EPROCESS_SIZE:

if (current_build == 2195) ans = 0 ; // 2000，當前不支持2000，下同

if (current_build == 2600) ans = 0x25C; // xp

if (current_build == 3790) ans = 0x270; // 2003

break;

case PEB_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x1b0;

if (current_build == 3790) ans = 0x1a0;

break;

case FILE_NAME_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x174;

if (current_build == 3790) ans = 0x164;

break;

case PROCESS_LINK_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x088;

if (current_build == 3790) ans = 0x098;

break;

case PROCESS_ID_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x084;

if (current_build == 3790) ans = 0x094;

break;

case EXIT_TIME_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x078;

if (current_build == 3790) ans = 0x088;

break;

}

return ans;

}

//-----------------------------------------------------------------------------

// GetFunctionAddr

//-----------------------------------------------------------------------------

ULONG GetFunctionAddr( IN PCWSTR FunctionName)

{

UNICODE_STRING UniCodeFunctionName;

RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );

return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );

}

//-----------------------------------------------------------------------------

// _PsCreateSystemThread

//-----------------------------------------------------------------------------

NTSTATUS _PsCreateSystemThread(IN PKSTART_ROUTINE StartRoutine)

{

ULONG RAddr = (ULONG)StartRoutine; //Routine Address

//Get Process Info

LPTSTR CurProc;

PEPROCESS EProcess;

PsLookupProcessByProcessId(PsGetCurrentProcessId(), &EProcess);

CurProc =(LPTSTR)EProcess;

CurProc =CurProc+ProcessNameOffset;

if (strncmp((char*)CurProc,"System",6) != 0)

{

DbgPrint("Current Process : %s, StartRoutine : %X\n", (char *)CurProc, StartRoutine);

}

return 0;

}

//-----------------------------------------------------------------------------

// MyPsCreateSystemThread

//-----------------------------------------------------------------------------

__declspec (naked)void MyPsCreateSystemThread()

{

_asm

{

pushad

push [esp+20h+18h]

call _PsCreateSystemThread

popad

mov edi,edi

push ebp

mov ebp,esp

jmp PsCreateSystemThreadAddr

}

}

//-----------------------------------------------------------------------------

// Install Hook

//-----------------------------------------------------------------------------

VOID InHook()

{

PsCreateSystemThreadAddr = GetFunctionAddr(L"PsCreateSystemThread");

__asm

{

push eax

mov eax, CR0

and eax, 0FFFEFFFFh

mov CR0, eax

pop eax

}

//Save asmCode

memcpy(PsCreateSystemThreadData, (PVOID)PsCreateSystemThreadAddr, 5);

(ULONG)PsCreateSystemThreadAddr += 5;

//Inline PsCreateSystemThread

__asm

{

mov esi, PsCreateSystemThreadAddr

sub esi, 5

mov byte ptr[esi], 0xE9

lea eax, [MyPsCreateSystemThread]

sub eax, esi

sub eax, 5

mov dword ptr [esi+1],eax

}

__asm

{

push eax

mov eax, CR0

or eax, NOT 0FFFEFFFFh

mov CR0, eax

pop eax

}

DbgPrint("Hooked OK

.\n");

return;

}

//-----------------------------------------------------------------------------

// Uninstall Hook

//-----------------------------------------------------------------------------

VOID UnHook()

{

__asm

{

push eax

mov eax, CR0

and eax, 0FFFEFFFFh

mov CR0, eax

pop eax

}

(ULONG)PsCreateSystemThreadAddr -= 5;

memcpy((PVOID)PsCreateSystemThreadAddr, PsCreateSystemThreadData, 5);

__asm

{

push eax

mov eax, CR0

or eax, NOT 0FFFEFFFFh

mov CR0, eax

pop eax

}

DbgPrint("UnHook OK

.\n");

return;

}

//-----------------------------------------------------------------------------

// Driver UnLoad

//-----------------------------------------------------------------------------

void OnUnload(PDRIVER_OBJECT pDriverObj)

{

UnHook();

DbgPrint("UnLoading Driver");

}

//-----------------------------------------------------------------------------

// Driver LoadEntry

//-----------------------------------------------------------------------------

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)

{

pDriverObj->DriverUnload = OnUnload;

DbgPrint("Loading Driver");

ProcessNameOffset = GetPlantformDependentInfo(FILE_NAME_OFFSET);

InHook();

return STATUS_SUCCESS;

}

posted on 2009-09-17 20:14 梵天閱讀(2328) 評論(0) 編輯收藏引用所屬分類: C/C++

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！



網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

導航

2009年9月

日

一

二

三

四

五

六

30

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

7

8

9

10

統計

隨筆 - 1
文章 - 0
評論 - 0
引用 - 0

常用鏈接

留言簿

隨筆分類

C/C++(1) (rss)

隨筆檔案

2009年9月 (1)

搜索

最新評論

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

<ins id="pjuwb"></ins>

<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

<noscript id="pjuwb"></noscript>

<sup id="pjuwb"><pre id="pjuwb"></pre></sup>

<dd id="pjuwb"></dd>

<abbr id="pjuwb"></abbr>

一区二区三区精密机械公司| 久久综合综合久久综合| 国产精品爱啪在线线免费观看| 久久久在线视频| 国产日韩欧美一区二区三区四区| 在线视频亚洲一区| 亚洲午夜久久久久久尤物| 欧美日韩视频在线观看一区二区三区| 亚洲国产精品123| 尤物视频一区二区| 欧美黄色精品| 亚洲视频1区2区| 欧美日韩国产限制| 一区二区三区日韩在线观看 | 亚洲欧美三级伦理| 久久久久久电影| 亚洲高清在线视频| 国产精品mm| 久久大香伊蕉在人线观看热2| 欧美黑人在线播放| 在线综合欧美| 曰韩精品一区二区| 欧美人与性动交a欧美精品| 宅男噜噜噜66国产日韩在线观看| 欧美在线看片a免费观看| 亚洲欧洲一区二区在线观看| 欧美午夜在线视频| 久久在线免费| 亚洲免费影院| 亚洲精品偷拍| 久久综合伊人| 亚洲免费视频在线观看| 亚洲国产黄色片| 玖玖国产精品视频| 欧美va天堂| 在线综合视频| 亚洲人成在线播放网站岛国| 欧美一级片在线播放| 亚洲欧洲日韩在线| 国产亚洲va综合人人澡精品| 欧美日韩国产区一| 久久久亚洲成人| 亚洲欧美色婷婷| 日韩视频一区二区三区在线播放免费观看 | 最新高清无码专区| 久久婷婷国产综合国色天香| 亚洲一品av免费观看| 亚洲欧洲日本国产| 亚洲成色最大综合在线| 国产一区二区三区黄| 国产精品黄页免费高清在线观看| 欧美激情精品久久久久久| 久久精品一区二区三区不卡| 亚洲欧美日韩国产成人| 一本到高清视频免费精品| 久久亚洲精品视频| 久久精品2019中文字幕| 日韩小视频在线观看专区| 欧美中文字幕在线播放| 亚洲一区二区三区视频| 日韩午夜三级在线| 亚洲精选在线| 亚洲人成精品久久久久| 亚洲国产精品久久久久秋霞影院| 国产综合精品一区| 国产欧美日本一区二区三区| 国产精品腿扒开做爽爽爽挤奶网站| 欧美日韩在线一区二区| 欧美网站在线观看| 国产精品国产精品| 欧美国产精品日韩| 蜜桃精品久久久久久久免费影院| 久久免费99精品久久久久久| 午夜精品在线视频| 亚洲一级在线观看| 一区二区三区国产在线| 日韩一区二区精品葵司在线| 91久久亚洲| 亚洲国产美女久久久久| 久久婷婷人人澡人人喊人人爽| 久久激情五月婷婷| 久久男人资源视频| 裸体歌舞表演一区二区| 免费一区视频| 欧美sm重口味系列视频在线观看| 久久久久国产精品一区二区| 久久久爽爽爽美女图片| 欧美成人午夜激情在线| 91久久国产精品91久久性色| 亚洲视频免费在线观看| 久久精品视频在线看| 欧美极品在线播放| 国产午夜亚洲精品不卡| 亚洲精品综合久久中文字幕| 亚洲一区二区三区四区中文| 久久精品国产欧美激情| 亚洲电影欧美电影有声小说| 日韩一级片网址| 艳女tv在线观看国产一区| 欧美系列电影免费观看| 国产女优一区| 91久久精品美女高潮| av成人免费观看| 亚洲欧美99| 欧美福利在线| 亚洲精品综合精品自拍| 性久久久久久久久| 欧美mv日韩mv国产网站| 国产欧美日韩在线观看| 亚洲激情视频| 蜜臀久久99精品久久久画质超高清| 午夜一级久久| 欧美精品一区二区精品网| 国产精品人人做人人爽人人添| 玉米视频成人免费看| 欧美亚洲视频一区二区| 欧美激情久久久久| 欧美中文字幕视频| 国产精品久久久久久久久动漫| 亚洲国产经典视频| 欧美一区三区二区在线观看| 99re8这里有精品热视频免费| 久久嫩草精品久久久精品| 国产精品一区二区女厕厕| 一本综合久久| 亚洲欧洲一区二区三区| 久久亚洲一区二区| 国模吧视频一区| 久久精品亚洲精品| 亚洲综合电影| 国产精品久久久久婷婷| 99国产精品久久久久老师| 亚洲第一狼人社区| 免费成人激情视频| 亚洲激情国产| 亚洲福利视频网| 欧美成人一区二区三区| 91久久精品国产91久久性色tv| 欧美www视频| 欧美成人免费一级人片100| 亚洲激情电影在线| 亚洲黄色在线视频| 欧美激情一区二区三区在线视频观看| 1000精品久久久久久久久| 久久影视三级福利片| 久久午夜羞羞影院免费观看| 在线欧美三区| 亚洲国产成人精品久久久国产成人一区 | 亚洲精品欧洲| 欧美连裤袜在线视频| 一本一本久久a久久精品牛牛影视| 亚洲国产综合视频在线观看| 欧美日韩午夜视频在线观看| 亚洲一区激情| 亚洲欧美日韩国产精品| 国产真实乱子伦精品视频| 久久久青草婷婷精品综合日韩 | 欧美视频一区二区三区…| 一二美女精品欧洲| 香蕉久久夜色精品| 亚洲国产精品va在线看黑人动漫 | 91久久国产精品91久久性色| 欧美精品在线视频观看| 亚洲欧美日韩精品久久奇米色影视 | 亚洲视频网站在线观看| 国产日韩欧美综合一区| 老司机免费视频久久| 欧美高清视频| 亚洲欧美中文在线视频| 久久久噜噜噜久久人人看| 日韩视频在线你懂得| 亚洲精品国产精品国自产观看| 欧美成人一区二区三区在线观看| 91久久精品www人人做人人爽| 亚洲美女精品一区| 欧美三级在线播放| 久久久久久久久综合| 麻豆91精品91久久久的内涵| 夜夜嗨av一区二区三区免费区| 亚洲性图久久| 海角社区69精品视频| 亚洲激情视频在线播放| 国产深夜精品| 欧美激情影音先锋| 国产欧美在线观看| 久久久久久国产精品mv| 久久精品人人做人人爽| 亚洲少妇自拍| 午夜日韩av| 亚洲美女中文字幕| 香港久久久电影| 亚洲乱码国产乱码精品精 | 亚洲在线不卡| 亚洲欧美综合网| 亚洲理论在线观看| 欧美91福利在线观看| 久久久噜噜噜久久中文字幕色伊伊 | 国产精品日日做人人爱| 美脚丝袜一区二区三区在线观看 | 欧美久久婷婷综合色|