• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        

            
	
            
		
			

            

            
	
            
		
			
            S.l.e!ep.¢%
            
			像打了激速一樣,以四倍的速度運轉,開心的工作
            
簡單、開放、平等的公司文化;尊重個性、自由與個人價值;
		            		
	
            

            

            

            
	
            

            posts - 1098, comments - 335, trackbacks - 0, articles - 1
            
	
 
C++博客 ::
首頁 ::
新隨筆 ::
聯(lián)系 ::
聚合
 ::
管理


            
		            		
	
            
	
            
		
			
            
			
            
		            		
		
			
            
				
					
	
            
		
            
			
            
				HOOK SSDT Hide Process (一)
			
            
 			Posted on 2009-10-24 23:58 S.l.e!ep.¢% 閱讀(374) 評論(0)  編輯 收藏 引用  所屬分類: RootKit 
			
			


		
            
		
            
		
            [資料] http://m.shnenglu.com/sleepwom/archive/2009/10/24/99375.html

            What is SSDT?
            SSDT的全稱是System Services Descriptor Table,系統(tǒng)服務描述符表。這個表就是一個把ring3的Win32 API和ring0的內核API聯(lián)系起來。SSDT并不僅僅只包含一個龐大的地址索引表,它還包含著一些其它有用的信息,諸如地址索引的基地址、服務函數(shù)個數(shù)等。

            How to use?
            在頭文件如此定義即可

            #pragma? pack(1)
            
		
            typedef struct _SSDT_TABLE
            {
            ? PVOID?? ServiceTableBase;
            ? PULONG? ServiceCounterTableBase;
            ? ULONG?? NumberOfService;
            ? ULONG?? ParamTableBase;
            }SSDT_TABLE,* PSSDT_TABLE;
            
		
            #pragma pack()

            extern "C" extern PSSDT_TABLE??KeServiceDescriptorTable;

            why?
            KeServiceDescriptorTable是ntoskrnl.exe導出的(Win下所有PE都可以導出接口或變量)
            用 vc 自帶的 dependency.exe 工具查看 ntoskrnl.exe 就可以看到
            609(0x0261) 594(0x0252) KeServiceDescriptorTable??? 0x0008B520? 
            (另外可以看到? Nt開頭的是ntdll.dll導出的,ntoskrnl.exe導出的是Zw開頭的函數(shù) )

            可以參考以下這篇文章,里面提到系統(tǒng)服務號101h,NtTerminateProcess和ZwTerminateProcess的關系:
            內核下,ZwXxx函數(shù)還是會走int?2e這條路,為的是把PreviousMode變?yōu)镵ernelMode。NtXxx是真正實現(xiàn)的地方。SSDT里面放的是NtXxx的函數(shù)地址。

            標?題:?【原創(chuàng)】內核態(tài)進程管理器Intercessor和實現(xiàn)細節(jié)
            作?者:?greatcsk
            時?間:?2007-09-05,20:20
            鏈?接:?http://bbs.pediy.com/showthread.php?t=51157?

            try it;
            寫一個Exe程序

            .h 加上
            #pragma comment(linker, "/EXPORT:_Add,@1,NONAME")
            
		
            #ifdef __cplusplus
            extern "C" {
            #endif
            
		
            __declspec(dllexport) int Add(int a, int b);
            
		
            #ifdef __cplusplus
            }
            #endif? /* __cplusplus */

            .cpp 加上
            #ifdef __cplusplus
            extern "C" {
            #endif
            
		
            ?? int Add(int a, int b)
            ?? {
            ???? return (a + b);
            ?? }
            
		
            #ifdef __cplusplus
            }
            #endif? /* __cplusplus */

            最后加上 .def
            EXPORTS
            ?? Add??????? @1?? 

            生成后,發(fā)現(xiàn)有 *.lib
            用 dependency.exe 一看,確實導出了
            調用時,跟調用DLL的函數(shù)是一樣的

            void CTestexeexportDlg::OnButton1() 
            {
            ?HMODULE moudule = ::LoadLibrary("C:\\\\exeexport.exe");
            
		
            ?typedef int(*MyFuncProc)(int a, int b); 
            
		
            ?MyFuncProc pFun;
            
		
            ?pFun = (MyFuncProc)GetProcAddress(moudule, "Add");
            
		
            
				
            ?int i = pFun(10, 20);
            
		
            }



            

            
	
            


            
	    
    




            






            

				
			
            
		            		
	
            
	
            
		
			


		
	
            

            

    
    







            
	   
	



亚洲国产成人精品91久久久
|
亚洲日本va中文字幕久久|
久久毛片免费看一区二区三区|
性做久久久久久久久老女人|
国产毛片欧美毛片久久久|
2021国产成人精品久久|
亚洲∧v久久久无码精品|
AA级片免费看视频久久|
亚洲AV无码久久寂寞少妇|
久久精品成人免费国产片小草|
欧美va久久久噜噜噜久久|
久久精品国产99久久香蕉|
99久久免费国产精精品|
国产精品久久新婚兰兰|
激情综合色综合久久综合|
2021久久国自产拍精品|
一本色道久久综合狠狠躁|
一本色道久久综合狠狠躁篇
|
久久久精品久久久久影院|
97久久久精品综合88久久|
久久国产色av免费看|
亚洲综合久久夜AV |
久久国产成人午夜aⅴ影院|
国产成人久久激情91|
色欲久久久天天天综合网精品|
亚洲精品视频久久久|
久久综合视频网站|
久久精品国产福利国产琪琪|
亚洲天堂久久精品|
国产一级做a爰片久久毛片|
少妇久久久久久久久久|
人妻无码αv中文字幕久久|
久久精品中文无码资源站|
亚洲国产精品综合久久网络
|
伊人久久大香线蕉AV色婷婷色|
欧美粉嫩小泬久久久久久久|
精品欧美一区二区三区久久久|
久久国产成人亚洲精品影院|
亚洲成av人片不卡无码久久|
久久综合成人网|
无码国产69精品久久久久网站|