青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

<center id="64scs"><input id="64scs"></input></center>

<abbr id="64scs"><code id="64scs"></code></abbr>

<abbr id="64scs"><code id="64scs"></code></abbr>

<center id="64scs"><code id="64scs"></code></center>

<abbr id="64scs"><noscript id="64scs"></noscript></abbr><abbr id="64scs"><code id="64scs"></code></abbr>

<strike id="64scs"><dd id="64scs"></dd></strike>

前世今非

前世五百次的回眸，換來今世的一次擦肩而過。

hook PsCreateSystemThread

很多RootKit在ring0下利用PsCreateSystemThread來創建系統線程做某些WS的事情，我們平時不利用ARK工具的話，是很難發現這些線程，在某些情況下，需要anti一些特定的rootkit，這里給出一個簡單的示例：

.h:

#pragma once

#include <ntddk.h>

typedef long LONG;

typedef unsigned char BOOL, *PBOOL;

typedef unsigned char BYTE, *PBYTE;

typedef unsigned long DWORD, *PDWORD;

typedef unsigned short WORD, *PWORD;

typedef void *HMODULE;

typedef long NTSTATUS, *PNTSTATUS;

typedef unsigned long DWORD;

typedef DWORD * PDWORD;

typedef unsigned long ULONG;

typedef unsigned long ULONG_PTR;

typedef ULONG *PULONG;

typedef unsigned short WORD;

typedef unsigned char BYTE;

typedef unsigned char UCHAR;

typedef unsigned short USHORT;

typedef void *PVOID;

typedef BYTE BOOLEAN;

#define SEC_IMAGE 0x01000000

NTSTATUS

PsLookupProcessByProcessId(

IN HANDLE ProcessId,

OUT PEPROCESS *Process

);

.c:

#include "HookPsThread.h"

/******************************************************************************

Hook PsCreateSystemThread

out adress

******************************************************************************/

//=============================================================================

// Version Define

//=============================================================================

#define EPROCESS_SIZE 1

#define PEB_OFFSET 2

#define FILE_NAME_OFFSET 3

#define PROCESS_LINK_OFFSET 4

#define PROCESS_ID_OFFSET 5

#define EXIT_TIME_OFFSET 6

//=============================================================================

// Logic Define

//=============================================================================

ULONG PsCreateSystemThreadAddr = 0;

char PsCreateSystemThreadData[5] = {0};

DWORD ProcessNameOffset;

//-----------------------------------------------------------------------------

// GetPlantformDependentInfo

//-----------------------------------------------------------------------------

DWORD GetPlantformDependentInfo( DWORD dwFlag )

{

DWORD current_build;

DWORD ans = 0;

PsGetVersion(NULL, NULL, &current_build, NULL);

switch ( dwFlag )

{

case EPROCESS_SIZE:

if (current_build == 2195) ans = 0 ; // 2000，當前不支持2000，下同

if (current_build == 2600) ans = 0x25C; // xp

if (current_build == 3790) ans = 0x270; // 2003

break;

case PEB_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x1b0;

if (current_build == 3790) ans = 0x1a0;

break;

case FILE_NAME_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x174;

if (current_build == 3790) ans = 0x164;

break;

case PROCESS_LINK_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x088;

if (current_build == 3790) ans = 0x098;

break;

case PROCESS_ID_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x084;

if (current_build == 3790) ans = 0x094;

break;

case EXIT_TIME_OFFSET:

if (current_build == 2195) ans = 0;

if (current_build == 2600) ans = 0x078;

if (current_build == 3790) ans = 0x088;

break;

}

return ans;

}

//-----------------------------------------------------------------------------

// GetFunctionAddr

//-----------------------------------------------------------------------------

ULONG GetFunctionAddr( IN PCWSTR FunctionName)

{

UNICODE_STRING UniCodeFunctionName;

RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );

return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );

}

//-----------------------------------------------------------------------------

// _PsCreateSystemThread

//-----------------------------------------------------------------------------

NTSTATUS _PsCreateSystemThread(IN PKSTART_ROUTINE StartRoutine)

{

ULONG RAddr = (ULONG)StartRoutine; //Routine Address

//Get Process Info

LPTSTR CurProc;

PEPROCESS EProcess;

PsLookupProcessByProcessId(PsGetCurrentProcessId(), &EProcess);

CurProc =(LPTSTR)EProcess;

CurProc =CurProc+ProcessNameOffset;

if (strncmp((char*)CurProc,"System",6) != 0)

{

DbgPrint("Current Process : %s, StartRoutine : %X\n", (char *)CurProc, StartRoutine);

}

return 0;

}

//-----------------------------------------------------------------------------

// MyPsCreateSystemThread

//-----------------------------------------------------------------------------

__declspec (naked)void MyPsCreateSystemThread()

{

_asm

{

pushad

push [esp+20h+18h]

call _PsCreateSystemThread

popad

mov edi,edi

push ebp

mov ebp,esp

jmp PsCreateSystemThreadAddr

}

}

//-----------------------------------------------------------------------------

// Install Hook

//-----------------------------------------------------------------------------

VOID InHook()

{

PsCreateSystemThreadAddr = GetFunctionAddr(L"PsCreateSystemThread");

__asm

{

push eax

mov eax, CR0

and eax, 0FFFEFFFFh

mov CR0, eax

pop eax

}

//Save asmCode

memcpy(PsCreateSystemThreadData, (PVOID)PsCreateSystemThreadAddr, 5);

(ULONG)PsCreateSystemThreadAddr += 5;

//Inline PsCreateSystemThread

__asm

{

mov esi, PsCreateSystemThreadAddr

sub esi, 5

mov byte ptr[esi], 0xE9

lea eax, [MyPsCreateSystemThread]

sub eax, esi

sub eax, 5

mov dword ptr [esi+1],eax

}

__asm

{

push eax

mov eax, CR0

or eax, NOT 0FFFEFFFFh

mov CR0, eax

pop eax

}

DbgPrint("Hooked OK

.\n");

return;

}

//-----------------------------------------------------------------------------

// Uninstall Hook

//-----------------------------------------------------------------------------

VOID UnHook()

{

__asm

{

push eax

mov eax, CR0

and eax, 0FFFEFFFFh

mov CR0, eax

pop eax

}

(ULONG)PsCreateSystemThreadAddr -= 5;

memcpy((PVOID)PsCreateSystemThreadAddr, PsCreateSystemThreadData, 5);

__asm

{

push eax

mov eax, CR0

or eax, NOT 0FFFEFFFFh

mov CR0, eax

pop eax

}

DbgPrint("UnHook OK

.\n");

return;

}

//-----------------------------------------------------------------------------

// Driver UnLoad

//-----------------------------------------------------------------------------

void OnUnload(PDRIVER_OBJECT pDriverObj)

{

UnHook();

DbgPrint("UnLoading Driver");

}

//-----------------------------------------------------------------------------

// Driver LoadEntry

//-----------------------------------------------------------------------------

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)

{

pDriverObj->DriverUnload = OnUnload;

DbgPrint("Loading Driver");

ProcessNameOffset = GetPlantformDependentInfo(FILE_NAME_OFFSET);

InHook();

return STATUS_SUCCESS;

}

posted on 2009-09-17 20:14 梵天閱讀(2335) 評論(0) 編輯收藏引用所屬分類: C/C++

只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

導航

2025年12月

日

一

二

三

四

五

六

30

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

6

7

8

9

10

統計

隨筆 - 1
文章 - 0
評論 - 0
引用 - 0

常用鏈接

留言簿

隨筆分類

C/C++(1) (rss)

隨筆檔案

2009年9月 (1)

搜索

最新評論

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

<ins id="pjuwb"></ins>

<blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

<noscript id="pjuwb"></noscript>

<sup id="pjuwb"><pre id="pjuwb"></pre></sup>

<dd id="pjuwb"></dd>

<abbr id="pjuwb"></abbr>

亚洲精品美女91| 毛片av中文字幕一区二区| 欧美www视频在线观看| 久久精品国产2020观看福利| 国产乱码精品一区二区三区忘忧草| 日韩一级欧洲| 9色精品在线| 欧美午夜片在线免费观看| 亚洲一区二区在线视频| 午夜视频在线观看一区| 极品少妇一区二区三区精品视频| 久久免费观看视频| 久久久福利视频| 99国内精品久久| 中文精品在线| 极品av少妇一区二区| 欧美激情一区二区三区不卡| 欧美精品麻豆| 欧美伊人久久大香线蕉综合69| 欧美亚洲视频一区二区| 亚洲国产三级| 亚洲天堂成人在线视频| 国内精品视频一区| 亚洲美女精品成人在线视频| 国产精品国产a级| 久久最新视频| 欧美日韩中文字幕在线| 久久精品国产在热久久| 免费短视频成人日韩| 亚洲欧美日韩国产中文| 久久亚洲欧美| 在线亚洲欧美专区二区| 欧美专区18| 亚洲天堂免费在线观看视频| 欧美在线视频观看免费网站| 夜夜精品视频一区二区| 欧美怡红院视频| 亚洲图片欧洲图片日韩av| 久久精品成人欧美大片古装| 亚洲网站视频福利| 美女脱光内衣内裤视频久久影院 | 国产日韩精品一区二区| 亚洲大片免费看| 国产啪精品视频| 亚洲每日在线| 亚洲国产精品悠悠久久琪琪| 亚洲欧美另类久久久精品2019| 亚洲啪啪91| 久久国产免费| 欧美一级理论性理论a| 男人的天堂亚洲在线| 久久久久久婷| 国产精品区一区| 一本色道综合亚洲| 亚洲精品乱码久久久久久黑人 | 欧美不卡高清| 国产欧美精品国产国产专区| 亚洲免费观看| 日韩午夜剧场| 欧美mv日韩mv国产网站| 久久在线免费观看视频| 国产欧美日韩三级| 亚洲视频精品在线| 午夜激情一区| 国产伦精品一区二区三区在线观看| 亚洲国产精品一区二区第一页| 国产真实乱子伦精品视频| 亚洲视频一区二区| 亚洲一区二区成人在线观看| 蜜臀91精品一区二区三区| 久久综合久久美利坚合众国| 国产午夜精品美女视频明星a级| 亚洲欧洲日本专区| 在线成人性视频| 久久久久成人精品免费播放动漫| 欧美一区二区三区在线观看视频 | 久久综合久久综合久久综合| 久久国产福利国产秒拍| 国内精品久久久久久影视8| 欧美在线免费播放| 玖玖玖国产精品| 亚洲高清三级视频| 男女精品网站| 99视频精品全部免费在线| 亚洲主播在线观看| 国产久一道中文一区| 久久久国产精彩视频美女艺术照福利 | 老司机精品导航| 最新国产成人av网站网址麻豆| 日韩午夜剧场| 国产精品成人一区二区三区夜夜夜| 亚洲视频免费在线观看| 欧美在线亚洲在线| 伊人久久婷婷色综合98网| 欧美成人中文| 亚洲网站啪啪| 欧美成人精品三级在线观看 | 欧美日韩在线一二三| 亚洲欧美资源在线| 欧美成人黄色小视频| 宅男精品视频| 国内精品视频在线播放| 欧美高清在线视频| 亚洲欧美日韩在线播放| 免费在线欧美黄色| 亚洲手机视频| 136国产福利精品导航网址| 欧美人成在线| 欧美影片第一页| 亚洲美女中文字幕| 可以看av的网站久久看| 亚洲视频观看| 亚洲黑丝在线| 国产日韩欧美黄色| 欧美日本乱大交xxxxx| 久久国产乱子精品免费女| 日韩性生活视频| 免费亚洲一区二区| 小黄鸭精品密入口导航| 亚洲精品视频二区| 韩日视频一区| 国产精品久久国产精品99gif| 麻豆精品在线视频| 欧美亚洲自偷自偷| 亚洲一区二区三区四区在线观看| 欧美国产日韩二区| 久久免费精品视频| 亚洲欧美一区二区视频| 亚洲精品一区二区三区在线观看 | 欧美不卡一区| 久久精品国亚洲| 午夜精彩国产免费不卡不顿大片| 亚洲精品影视在线观看| 欧美成人国产| 免费欧美电影| 快射av在线播放一区| 久久久久久久久伊人| 西瓜成人精品人成网站| 亚洲一区二区三区精品在线| 亚洲精品男同| 亚洲精品日韩欧美| 亚洲欧洲精品一区二区三区波多野1战4| 国产欧美日韩精品专区| 国产精品欧美久久| 国产精品v欧美精品∨日韩| 欧美日韩综合在线免费观看| 欧美精品自拍| 欧美日韩成人精品| 欧美日韩国产999| 欧美精选在线| 欧美午夜免费| 国产精品无人区| 国产啪精品视频| 黄网站色欧美视频| 在线观看国产欧美| 亚洲人体大胆视频| 亚洲精品在线视频观看| 亚洲免费成人av| 在线亚洲欧美专区二区| 亚洲欧美日韩国产一区二区| 欧美一级视频一区二区| 久久久久国产一区二区| 久久免费国产精品| 欧美激情精品久久久久久| 亚洲风情在线资源站| 亚洲精品国精品久久99热| 宅男精品视频| 欧美诱惑福利视频| 久久字幕精品一区| 欧美人与性动交a欧美精品| 国产精品日韩久久久久| 韩国三级电影一区二区| 亚洲精品视频免费在线观看| 一区二区三区精品视频在线观看| 亚洲综合社区| 免费观看在线综合色| 亚洲精品国产欧美| 亚洲欧美日韩在线不卡| 欧美91视频| 国产精品高精视频免费| 一区二区三区在线观看国产| 99re66热这里只有精品4| 亚洲一区激情| 美女国产一区| 亚洲一区二区三区免费视频| 久久久久国产精品一区| 国产精品扒开腿爽爽爽视频| 激情欧美亚洲| 亚洲一区二区3| 欧美1区免费| 亚洲视频在线二区| 欧美成人黑人xx视频免费观看| 欧美体内谢she精2性欧美| 在线观看不卡av| 亚洲一区二区成人| 欧美激情综合色| 欧美资源在线观看| 欧美性猛交xxxx免费看久久久| 黄色在线一区| 欧美影院精品一区|

<abbr id="quomm"><code id="quomm"></code></abbr>

<s id="quomm"><center id="quomm"></center></s>

<s id="quomm"><dd id="quomm"></dd></s>

<nav id="quomm"><source id="quomm"></source></nav>

<abbr id="quomm"><strong id="quomm"></strong></abbr>

<abbr id="quomm"><object id="quomm"></object></abbr>