青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

前世今非

前世五百次的回眸，換來(lái)今世的一次擦肩而過(guò)。

hook PsCreateSystemThread

很多RootKit在ring0下利用PsCreateSystemThread來(lái)創(chuàng)建系統(tǒng)線(xiàn)程做某些WS的事情，我們平時(shí)不利用ARK工具的話(huà)，是很難發(fā)現(xiàn)這些線(xiàn)程，在某些情況下，需要anti一些特定的rootkit，這里給出一個(gè)簡(jiǎn)單的示例：

.h:

#pragma once

#include <ntddk.h>

typedef long LONG;

typedef unsigned char BOOL, *PBOOL;

typedef unsigned char BYTE, *PBYTE;

typedef unsigned long DWORD, *PDWORD;

typedef unsigned short WORD, *PWORD;

typedef void *HMODULE;

typedef long NTSTATUS, *PNTSTATUS;

typedef unsigned long DWORD;

typedef DWORD * PDWORD;

typedef unsigned long ULONG;

typedef unsigned long ULONG_PTR;

typedef ULONG *PULONG;

typedef unsigned short WORD;

typedef unsigned char BYTE;

typedef unsigned char UCHAR;

typedef unsigned short USHORT;

typedef void *PVOID;

typedef BYTE BOOLEAN;

#define SEC_IMAGE 0x01000000

NTSTATUS

PsLookupProcessByProcessId(

IN HANDLE ProcessId,

OUT PEPROCESS *Process

);

.c:

#include "HookPsThread.h"

/******************************************************************************

Hook PsCreateSystemThread

out adress

******************************************************************************/

//=============================================================================

// Version Define

//=============================================================================

#define EPROCESS_SIZE 1

#define PEB_OFFSET 2

#define FILE_NAME_OFFSET 3

#define PROCESS_LINK_OFFSET 4

#define PROCESS_ID_OFFSET 5

#define EXIT_TIME_OFFSET 6

//=============================================================================

// Logic Define

//=============================================================================

ULONG PsCreateSystemThreadAddr = 0;

char PsCreateSystemThreadData[5] = {0};

DWORD ProcessNameOffset;

//-----------------------------------------------------------------------------

// GetPlantformDependentInfo

//-----------------------------------------------------------------------------

DWORD GetPlantformDependentInfo( DWORD dwFlag )

{

DWORD current_build;

DWORD ans = 0;

PsGetVersion(NULL, NULL, &current_build, NULL);

switch ( dwFlag )

{

case EPROCESS_SIZE:

if (current_build == 2195) ans = 0 ; // 2000，當(dāng)前不支持2000，下同

if (current_build == 2600) ans = 0x25C; // xp

if (current_build == 3790) ans = 0x270; // 2003

break;

case PEB_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x1b0;

if (current_build == 3790) ans = 0x1a0;

break;

case FILE_NAME_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x174;

if (current_build == 3790) ans = 0x164;

break;

case PROCESS_LINK_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x088;

if (current_build == 3790) ans = 0x098;

break;

case PROCESS_ID_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x084;

if (current_build == 3790) ans = 0x094;

break;

case EXIT_TIME_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x078;

if (current_build == 3790) ans = 0x088;

break;

}

return ans;

}

//-----------------------------------------------------------------------------

// GetFunctionAddr

//-----------------------------------------------------------------------------

ULONG GetFunctionAddr( IN PCWSTR FunctionName)

{

UNICODE_STRING UniCodeFunctionName;

RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );

return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );

}

//-----------------------------------------------------------------------------

// _PsCreateSystemThread

//-----------------------------------------------------------------------------

NTSTATUS _PsCreateSystemThread(IN PKSTART_ROUTINE StartRoutine)

{

ULONG RAddr = (ULONG)StartRoutine; //Routine Address

//Get Process Info

LPTSTR CurProc;

PEPROCESS EProcess;

PsLookupProcessByProcessId(PsGetCurrentProcessId(), &EProcess);

CurProc =(LPTSTR)EProcess;

CurProc =CurProc+ProcessNameOffset;

if (strncmp((char*)CurProc,"System",6) != 0)

{

DbgPrint("Current Process : %s, StartRoutine : %X\n", (char *)CurProc, StartRoutine);

}

return 0;

}

//-----------------------------------------------------------------------------

// MyPsCreateSystemThread

//-----------------------------------------------------------------------------

__declspec (naked)void MyPsCreateSystemThread()

{

_asm

{

pushad

push [esp+20h+18h]

call _PsCreateSystemThread

popad

mov edi,edi

push ebp

mov ebp,esp

jmp PsCreateSystemThreadAddr

}

}

//-----------------------------------------------------------------------------

// Install Hook

//-----------------------------------------------------------------------------

VOID InHook()

{

PsCreateSystemThreadAddr = GetFunctionAddr(L"PsCreateSystemThread");

__asm

{

push eax

mov eax, CR0

and eax, 0FFFEFFFFh

mov CR0, eax

pop eax

}

//Save asmCode

memcpy(PsCreateSystemThreadData, (PVOID)PsCreateSystemThreadAddr, 5);

(ULONG)PsCreateSystemThreadAddr += 5;

//Inline PsCreateSystemThread

__asm

{

mov esi, PsCreateSystemThreadAddr

sub esi, 5

mov byte ptr[esi], 0xE9

lea eax, [MyPsCreateSystemThread]

sub eax, esi

sub eax, 5

mov dword ptr [esi+1],eax

}

__asm

{

push eax

mov eax, CR0

or eax, NOT 0FFFEFFFFh

mov CR0, eax

pop eax

}

DbgPrint("Hooked OK

.\n");

return;

}

//-----------------------------------------------------------------------------

// Uninstall Hook

//-----------------------------------------------------------------------------

VOID UnHook()

{

__asm

{

push eax

mov eax, CR0

and eax, 0FFFEFFFFh

mov CR0, eax

pop eax

}

(ULONG)PsCreateSystemThreadAddr -= 5;

memcpy((PVOID)PsCreateSystemThreadAddr, PsCreateSystemThreadData, 5);

__asm

{

push eax

mov eax, CR0

or eax, NOT 0FFFEFFFFh

mov CR0, eax

pop eax

}

DbgPrint("UnHook OK

.\n");

return;

}

//-----------------------------------------------------------------------------

// Driver UnLoad

//-----------------------------------------------------------------------------

void OnUnload(PDRIVER_OBJECT pDriverObj)

{

UnHook();

DbgPrint("UnLoading Driver");

}

//-----------------------------------------------------------------------------

// Driver LoadEntry

//-----------------------------------------------------------------------------

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)

{

pDriverObj->DriverUnload = OnUnload;

DbgPrint("Loading Driver");

ProcessNameOffset = GetPlantformDependentInfo(FILE_NAME_OFFSET);

InHook();

return STATUS_SUCCESS;

}

posted on 2009-09-17 20:14 梵天閱讀(2328) 評(píng)論(0) 編輯收藏引用所屬分類(lèi): C/C++

只有注冊(cè)用戶(hù)登錄后才能發(fā)表評(píng)論。
【推薦】100%開(kāi)源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！



網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問(wèn) Chat2DB 管理

導(dǎo)航

2009年9月

日

一

二

三

四

五

六

30

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

7

8

9

10

統(tǒng)計(jì)

隨筆 - 1
文章 - 0
評(píng)論 - 0
引用 - 0

常用鏈接

留言簿

隨筆分類(lèi)

C/C++(1) (rss)

隨筆檔案

2009年9月 (1)

搜索

最新評(píng)論

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

<ins id="pjuwb"></ins>

<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

<noscript id="pjuwb"></noscript>

<sup id="pjuwb"><pre id="pjuwb"></pre></sup>

<dd id="pjuwb"></dd>

<abbr id="pjuwb"></abbr>

亚洲精品婷婷| 老司机67194精品线观看| 亚洲欧美日韩一区二区| 亚洲精选一区二区| 日韩视频第一页| 亚洲精品中文字幕有码专区| 亚洲乱码国产乱码精品精 | 欧美成人精品h版在线观看| 老司机67194精品线观看| 久久午夜国产精品| 欧美成人中文字幕在线| 91久久久久| 在线综合亚洲欧美在线视频| 亚洲欧美日韩一区在线| 久久亚洲国产精品日日av夜夜| 久久综合狠狠综合久久激情| 欧美精品国产精品| 国产亚洲精品资源在线26u| 亚洲欧洲一区二区三区在线观看 | 欧美亚洲在线| 女人色偷偷aa久久天堂| 中文精品视频一区二区在线观看| 亚洲欧美偷拍卡通变态| 免费久久久一本精品久久区| 国产精品国产三级国产专播精品人| 国产日韩一区二区三区| 亚洲精品日韩在线| 久久国内精品自在自线400部| 欧美激情一区二区三区高清视频| 亚洲视频精品在线| 欧美成人dvd在线视频| 国产区二精品视| 中文精品视频一区二区在线观看| 久久久久久自在自线| 一区二区av在线| 欧美成年视频| 亚洲高清资源| 久久综合色婷婷| 午夜精品久久久久久久白皮肤| 欧美激情亚洲a∨综合| 一色屋精品视频免费看| 久久久999精品视频| 一区二区三区四区五区视频 | 国产欧美在线欧美| 日韩一级黄色av| 免费观看成人鲁鲁鲁鲁鲁视频 | 亚洲一区二区在线免费观看| 欧美黄色一区二区| 欧美一区影院| 国产精品亚洲人在线观看| 一二三区精品| 亚洲欧洲一区二区三区在线观看| 久久伊人精品天天| 红桃视频国产精品| 午夜久久一区| 亚洲婷婷免费| 国产精品日韩在线播放| 一本色道久久综合亚洲精品婷婷 | 欧美三区在线| 夜夜嗨av一区二区三区中文字幕 | 欧美福利一区二区| 亚洲欧洲精品一区| 91久久久久| 欧美日韩不卡一区| 亚洲最黄网站| 在线视频日韩精品| 国产精品久久午夜| 亚洲欧美激情视频在线观看一区二区三区| 亚洲精品网站在线播放gif| 欧美片网站免费| 亚洲香蕉在线观看| 亚洲欧美日韩国产成人精品影院| 国产精品美女久久福利网站| 亚欧美中日韩视频| 久久九九国产精品怡红院| 在线播放日韩| 亚洲国产欧美一区二区三区同亚洲| 免费欧美网站| 亚洲一区二区三区久久| 亚洲欧美综合v| 亚洲电影免费观看高清完整版在线观看| 久久一区亚洲| 欧美精品一区二区三区蜜臀| 亚洲制服av| 久久国产精品免费一区| 亚洲国产欧美日韩精品| 亚洲日本欧美天堂| 国产精品一区久久久| 久久久久久久性| 欧美不卡视频| 欧美一区二区三区播放老司机| 久久国产一二区| 亚洲伦理一区| 欧美一级二区| aaa亚洲精品一二三区| 亚洲女爱视频在线| 亚洲国产中文字幕在线观看| 亚洲精品一区二| 激情视频一区| 9l视频自拍蝌蚪9l视频成人| 国内外成人免费视频| 亚洲精品美女在线观看| 国产一区日韩欧美| 99成人免费视频| 1769国产精品| 亚洲综合精品| 99综合在线| 久久久久久久久久久成人| 亚洲一级片在线看| 美女精品网站| 亚洲理论电影网| 欧美成年人网站| 一区二区三区精品| 亚洲精品三级| 欧美激情在线观看| 美女精品一区| 欧美搞黄网站| 亚洲福利视频一区| 另类综合日韩欧美亚洲| 久久精品一本| 麻豆成人在线播放| 欧美国产在线视频| 欧美激情一区二区三区高清视频 | 日韩视频免费观看高清完整版| 激情久久综合| 久久精品五月| 久久精品日产第一区二区| 性欧美xxxx大乳国产app| 午夜视频在线观看一区| 久久久久久999| 欧美黄免费看| 9久re热视频在线精品| 亚洲人成人77777线观看| 日韩视频中文字幕| 欧美一区二区三区的| 亚洲欧美一区二区精品久久久| 久久成人人人人精品欧| 午夜精品福利一区二区三区av| 久久久福利视频| 欧美激情bt| 国产精品亚洲成人| 欧美第一黄网免费网站| 久久精品国产一区二区三| 欧美视频在线观看一区二区| 亚洲精品在线电影| 日韩网站免费观看| 欧美国产在线观看| 亚洲电影第1页| 在线欧美亚洲| 欧美专区亚洲专区| 久久视频国产精品免费视频在线| 国产麻豆成人精品| 中文国产一区| 久久久精品国产免费观看同学| 欧美视频导航| 亚洲制服丝袜在线| 午夜在线精品偷拍| 欧美日韩在线播放| 日韩视频国产视频| 欧美资源在线观看| 国产资源精品在线观看| 久久久www免费人成黑人精品 | 亚洲福利国产精品| 亚洲日本黄色| 国产精品久久久久7777婷婷| 亚洲欧美在线看| 欧美高清视频在线播放| 欧美精品一区二区三区在线播放| 欧美成人激情视频| 久久亚洲视频| 久久久久久久久久久久久久一区| 欧美黑人多人双交| 激情成人综合网| 鲁鲁狠狠狠7777一区二区| 久久尤物视频| 欧美成人精品1314www| 亚洲高清网站| 欧美激情免费观看| 在线视频精品一区| 久久尤物电影视频在线观看| 亚洲人成在线观看| 欧美日韩美女在线| 午夜精品三级视频福利| 欧美电影免费观看| 中国日韩欧美久久久久久久久| 国产精品永久在线| 欧美粗暴jizz性欧美20| 亚洲专区在线| 亚洲国产高清高潮精品美女| 怡红院精品视频| 亚洲第一精品影视| 一本色道久久加勒比精品| 国产日韩在线看| 欧美高清视频一区| 一区二区日韩欧美| 欧美a级片一区| 久久精品国产999大香线蕉| 日韩视频在线免费| 好看的av在线不卡观看| 国产精品丝袜xxxxxxx|