求教SSDT HOOK实现文件监控~

Windows专区 > 安全技术/病毒 [问题点数:20分,结帖人VirtualRookit]
等级
本版专家分:20
结帖率 100%
等级
本版专家分:192
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
等级
本版专家分:20
等级
本版专家分:192
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
等级
本版专家分:20
等级
本版专家分:192
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
等级
本版专家分:20
等级
本版专家分:20
勋章
Blank
签到新秀 累计签到获取,不积跬步,无以至千里,继续坚持!
等级
本版专家分:20
勋章
Blank
签到新秀 累计签到获取,不积跬步,无以至千里,继续坚持!
等级
本版专家分:20
等级
本版专家分:192
勋章
Blank
蓝花 2012年3月 VC/MFC大版内专家分月排行榜第三
2012年1月 VC/MFC大版内专家分月排行榜第三
简单HOOK SSDT实现文件防删除

http://www.rosoo.net/a/201001/8347.html

Rootkit之SSDT hook(通过CR0)

SSDT即System Service Dispath Table,它是一个表,这个表中有内核调用的函数地址。 KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是 typedef struct ...

成功实现通过SSDT HOOK拒绝指定文件的访问

菜鸟习作,老鸟勿笑~~ -----------------------------------------------------------------------------------------------------...下面记录一下实现过程中的各种问题,作为以后的参考。 一句话:内核如沼泽。 首先是

驱动笔记:SSDT HOOK实现进程保护

驱动笔记:SSDT HOOK实现进程保护 2009-02-19 10:30:47 www.hackbase.com 来源:7747.net http://nokyo.blogbus.com/logs/35320995.html  SSDT HOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。...

求教SSDT HOOK实现文件监控~

做X64 shadow SSDT HOOK引擎那些事儿~~

废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near ; DATA XREF: .text:FFFFF97FFF0D20E0 o .text:FFFFF97FFF072744 

Windows内核编程 文件监控ssdt hook

说到SSDT HOOK,可以从MEP技术说起,MEP(即执行路径修改)主旨就是拦截系统函数或相关处理例程,让它们转向我们自己的函数进行处理,这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT(即 系统服务描述...

SSDT HOOK实现文件保护

提到文件保护,无非就是文件隐藏、文件打开、读写、删除保护等。   一、文件隐藏    文件隐藏可以通过HOOK NtQueryDirectoryFile函数来实现,这样可以使得受保护的文件无法在... 实际上,如果是需要实现文件

Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现

上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook

SSDT Hook底层原理介绍以及如何实现进程保护

SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经...

SSDT Hook

看看大概的调用情况 ...当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S

SSDTHook的原理

前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看...

SSDT Hook实现内核级的进程保护

SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: ...

SSDT Hook技术详解与应用

SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、...

SSDTHook实现进程保护

SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379

如何区分ssdt hook和inline hook钩子

如何区分ssdt hook和inline hook的区别

x64技术之SSDT_Hook

x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64...

SSDTHook实例--编写稳定的Hook过滤函数

讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的...

进程隐藏与进程保护(SSDT Hook 实现)(一)

文章目录:   1. 引子 – Hook 技术: 2. SSDT 简介: ...5. SSDT Hook 原理: 6. 小结:   1. 引子 – Hook 技术:   前面一篇博文呢介绍了代码的注入技术(远程线程实现),博文地址如下: ht

ShadowSSdt HOOK

system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt...

64位下的SSDT HOOK 保护进程

64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理...

编程打造自己的SSDT恢复工具_被SSDT HOOK了能修复.zip

编程打造自己的SSDT恢复工具_被SSDT HOOK了能修复.zip

Windows简单驱动编程(三):SSDT HOOK

ssdt hook NtOpenProcess win7 32环境,注释已标明一些解释 #include <ntddk.h> #include <ntstatus.h> ULONG uOldNtOpenProcess; //定义system_service_table结构体 typedef struct _KSYSTEM_...

谈谈 通杀SSDT hook和Shadow SSDT hook的方法

其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学...

SSDT HOOK 保护文件

 现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计,考虑再三还是使用SSDT HOOK,因为这个最简单,而且比较稳定,也容易理解。  提到文件保护,无非就是文件隐藏、文件打开、读写、删除保护等。 ...

SSDT hook和Shadow SSDT hook的方法

其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学...

SSDT Hook 实现操作

实现了对注册表读写,与应用层进行规则交互,实现对应用程序的保护,隐藏,禁止打开基本操作

Delphi实现SSDT Hook

关于SSDT Hook的理论知识就不多说了。简单的说一下Delphi开发KMD的一些需要注意的地方... 这里使用DDDK---有点自己修改过的痕迹不过区别不大...自己可以看代码1.KeServiceDescriptorTable是一个很特殊的函数...如果...

hook pte_菜鸟开始学习SSDT HOOK((附带源码)

看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入。在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来。首先我们应该认识 ssdt是什么?从梦无极的讲解过程中...

[转](51)SSDT HOOK 实现进程保护

一、回顾 在前面的课程里,我们逆向分析...今天我们来学习另一种方法,即通过 SSDT 表找系统服务表。 二、SSDT SSDT是内核模块的导出变量,可通过 dd KeServiceDescriptorTable 查看: kd> dd KeSer...

相关热词 c#dll vb 调用 c# outlook c#修改表数据 c# 子窗体值返给父窗体 c# label 格式化 c# 程序如何控制摄像头 c# 获取运行时间 c#知识点结构图 微软c# c#解析owl