• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>

            S.l.e!ep.¢%

            像打了激速一樣,以四倍的速度運轉,開心的工作
            簡單、開放、平等的公司文化;尊重個性、自由與個人價值;
            posts - 1098, comments - 335, trackbacks - 0, articles - 1
              C++博客 :: 首頁 :: 新隨筆 :: 聯(lián)系 :: 聚合  :: 管理

            HOOK SSDT Hide Process (一)

            Posted on 2009-10-24 23:58 S.l.e!ep.¢% 閱讀(374) 評論(0)  編輯 收藏 引用 所屬分類: RootKit

            [資料] http://m.shnenglu.com/sleepwom/archive/2009/10/24/99375.html

            What is SSDT?
            SSDT的全稱是System Services Descriptor Table,系統(tǒng)服務描述符表。這個表就是一個把ring3的Win32 API和ring0的內核API聯(lián)系起來。SSDT并不僅僅只包含一個龐大的地址索引表,它還包含著一些其它有用的信息,諸如地址索引的基地址、服務函數(shù)個數(shù)等。

            How to use?
            在頭文件如此定義即可

            #pragma? pack(1)

            typedef struct _SSDT_TABLE
            {
            ? PVOID?? ServiceTableBase;
            ? PULONG? ServiceCounterTableBase;
            ? ULONG?? NumberOfService;
            ? ULONG?? ParamTableBase;
            }SSDT_TABLE,* PSSDT_TABLE;

            #pragma pack()

            extern "C" extern PSSDT_TABLE??KeServiceDescriptorTable;

            why?
            KeServiceDescriptorTable是ntoskrnl.exe導出的(Win下所有PE都可以導出接口或變量)
            用 vc 自帶的 dependency.exe 工具查看 ntoskrnl.exe 就可以看到
            609(0x0261) 594(0x0252) KeServiceDescriptorTable??? 0x0008B520?
            (另外可以看到? Nt開頭的是ntdll.dll導出的,ntoskrnl.exe導出的是Zw開頭的函數(shù) )

            可以參考以下這篇文章,里面提到系統(tǒng)服務號101h,NtTerminateProcess和ZwTerminateProcess的關系:
            內核下,ZwXxx函數(shù)還是會走int?2e這條路,為的是把PreviousMode變?yōu)镵ernelMode。NtXxx是真正實現(xiàn)的地方。SSDT里面放的是NtXxx的函數(shù)地址。

            標?題:?【原創(chuàng)】內核態(tài)進程管理器Intercessor和實現(xiàn)細節(jié)
            作?者:?greatcsk
            時?間:?2007-09-05,20:20
            鏈?接:?http://bbs.pediy.com/showthread.php?t=51157?

            try it;
            寫一個Exe程序

            .h 加上
            #pragma comment(linker, "/EXPORT:_Add,@1,NONAME")

            #ifdef __cplusplus
            extern "C" {
            #endif

            __declspec(dllexport) int Add(int a, int b);

            #ifdef __cplusplus
            }
            #endif? /* __cplusplus */

            .cpp 加上
            #ifdef __cplusplus
            extern "C" {
            #endif

            ?? int Add(int a, int b)
            ?? {
            ???? return (a + b);
            ?? }

            #ifdef __cplusplus
            }
            #endif? /* __cplusplus */

            最后加上 .def
            EXPORTS
            ?? Add??????? @1??

            生成后,發(fā)現(xiàn)有 *.lib
            用 dependency.exe 一看,確實導出了
            調用時,跟調用DLL的函數(shù)是一樣的

            void CTestexeexportDlg::OnButton1()
            {
            ?HMODULE moudule = ::LoadLibrary("C:\\\\exeexport.exe");

            ?typedef int(*MyFuncProc)(int a, int b);

            ?MyFuncProc pFun;

            ?pFun = (MyFuncProc)GetProcAddress(moudule, "Add");


            ?int i = pFun(10, 20);

            }



            91亚洲国产成人久久精品| 无码人妻久久一区二区三区| 99热热久久这里只有精品68| 91久久国产视频| 2020久久精品亚洲热综合一本| 亚洲日本va中文字幕久久| 久久精品国产99国产精品澳门 | 思思久久99热只有频精品66| 国产成人精品久久| 曰曰摸天天摸人人看久久久| 国产精品久久久久a影院| 日本免费久久久久久久网站| 国内精品伊人久久久影院| 国产综合久久久久| 国色天香久久久久久久小说| 国产福利电影一区二区三区久久老子无码午夜伦不 | 亚洲人成电影网站久久| 久久青青草视频| 久久97精品久久久久久久不卡| 欧美亚洲国产精品久久| 亚洲午夜精品久久久久久人妖| 精品久久久无码21p发布| 国产精品美女久久久久av爽| 久久精品无码专区免费青青| 人妻少妇精品久久| 国产A级毛片久久久精品毛片| 国产精品久久久久jk制服| 色播久久人人爽人人爽人人片AV| 久久精品国产99久久香蕉| 亚洲国产精品久久久久网站 | 香蕉久久久久久狠狠色| 久久99久久成人免费播放| 国产99久久精品一区二区| 久久A级毛片免费观看| 久久综合九色综合网站| 精品国产乱码久久久久久呢| 久久婷婷五月综合成人D啪| 亚洲人成电影网站久久| 色播久久人人爽人人爽人人片AV| 久久精品一本到99热免费| 久久人人爽人人人人片av|