21,600
社区成员
发帖
与我相关
我的任务
分享请问下,通过 hook ssdt 隐藏端口的驱动,在 win7 32位下不可用
目的是让我打开的tcp端口用 netstat 查询不可见。
我通过 hook ssdt 拦截了系统的内核函数 ZwDeviceIoControlFile
HOOK_SYSCALL(ZwDeviceIoControlFile,NewZwDeviceIoControlFile,OldZwDeviceIoControlFile);
在XP下工作正常。而在win7 (32位下),可以运行到我的函数,但是在
if (IoControlCode != IOCTL_TCP_QUERY_INFORMATION_EX)
return ntStatus;
这里就都返回了,也就是说,没有得到 IoContrlCode 为 IOCTL_TCP_QUERY_INFORMATION_EX 的包。
如果有大神愿意帮忙,我可以发出全部代码。谢谢!
我通过 hook ssdt 拦截了系统的内核函数 ZwDeviceIoControlFile
HOOK_SYSCALL(ZwDeviceIoControlFile,NewZwDeviceIoControlFile,OldZwDeviceIoControlFile);
在XP下工作正常。而在win7 (32位下),可以运行到我的函数,但是在
if (IoControlCode != IOCTL_TCP_QUERY_INFORMATION_EX)
return ntStatus;
这里就都返回了,也就是说,没有得到 IoContrlCode 为 IOCTL_TCP_QUERY_INFORMATION_EX 的包。
如果有大神愿意帮忙,我可以发出全部代码。谢谢!
...全文
请发表友善的回复…
发表回复
