|
[原创][公开源代码]集合了无数大牛们的代码,打造自己的山寨版IceSword(KsBinSword)
你真是为人民做了大好事啊 **啊 |
|
[开源]卓然主动防御源码(可执行文件+完整源码+完整作品报告)
赞一个啊,有了楼主这种开源精神的优秀程序员,祖国未来IT的发展一定更好 |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
其实基本上也理解了 只是对里面很多不熟悉 看来得多练习啊 |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
其实也就是_SEGMENT_OBJECT结构的BaseAddress成员,指向一个_CONTROL_AREA结构 但是我看头文件定义好像没有这么写 |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
lkd> dt _SEGMENT_OBJECT nt!_SEGMENT_OBJECT +0x000 BaseAddress : Ptr32 Void +0x004 TotalNumberOfPtes : Uint4B +0x008 SizeOfSegment : _LARGE_INTEGER +0x010 NonExtendedPtes : Uint4B +0x014 ImageCommitment : Uint4B +0x018 ControlArea : Ptr32 _CONTROL_AREA +0x01c Subsection : Ptr32 _SUBSECTION +0x020 LargeControlArea : Ptr32 _LARGE_CONTROL_AREA +0x024 MmSectionFlags : Ptr32 _MMSECTION_FLAGS +0x028 MmSubSectionFlags : Ptr32 _MMSUBSECTION_FLAGS 从_SEGMENT_OBJECT偏移到Ptr32 _CONTROL_AREA是偏移0x18 但该程序 ns= ObReferenceObjectByHandle( KeyHandle, 0, NULL, KernelMode, &pKey, NULL ) ; if( !NT_SUCCESS(ns)) return ns; fullUniName.Buffer = ExAllocatePool( PagedPool, MAXPATHLEN*2);//1024*2 fullUniName.MaximumLength = MAXPATHLEN*2; __try { pFile=(PVOID)*(ULONG *)((char *)pKey+20); pFile=(PVOID)*(ULONG *)((char *)pFile); //这里为什么会直接取没有偏移呢?奇怪 pFile=(PVOID)*(ULONG *)((char *)pFile+36); |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
牛啊 和大牛多学习了 谢谢大家 |
|
[求助]请问ring0 HOOK了ntCreateProcessEx 怎么获取被创建的进程名
哎 菜就是菜啊 RING0学习东西太多了 请问如何得到PFILE_OBJECT FileObject;这个文件的句柄啊 |
|
[求助]请问ring0 HOOK了ntCreateProcessEx 怎么获取被创建的进程名
谢谢 ejoyc 我去试试哈 |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
蓝屏 不蓝了 但是不知道如何在我的mycreateprocess获得镜像名称 请教大家哈 |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
各位大牛谢谢了 我确实才接触驱动 还在学习中哈 SSDT HOOK我的理解就是把 表地址替换了 但是我这样做为什么会蓝屏 呢 OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN HANDLE InheritFromProcessHandle, IN ULONG CreateFlags, IN HANDLE SectionHandle OPTIONAL, IN HANDLE DebugObject OPTIONAL, IN HANDLE ExceptionPort OPTIONAL, IN ULONG JobMemberLevel 我把这些参数按照顺序全部打印出来 是这个样子的 rootkit: NewNtCreateProcessEx() 0x0007D944 0x001F0FFF 0x00000000 0xFFFFFFFF 0x00000000 0x000007B0 0x00000000 0x00000000 0x00000000 应该说我重新调用了它真实的地址后应该和以前一样 不会蓝屏的啊 但事实确实相反 NTSTATUS NewNtCreateProcessEx( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ParentProcess, IN BOOLEAN InheritObjectTable, IN HANDLE SectionHandle OPTIONAL, IN HANDLE DebugPort OPTIONAL, IN HANDLE ExceptionPort OPTIONAL, IN HANDLE Unknown OPTIONAL) { CHAR aProcessName[PROCNAMELEN]; GetProcessName( aProcessName ); DbgPrint("rootkit: NewNtCreateProcessEx() from %s 0x%08X\n", aProcessName,OldNtCreateProcessEx); DbgPrint("rootkit: NewNtCreateProcessEx() 0x%08X 0x%08X 0x%08X 0x%08X 0x%08X 0x%08X 0x%08X 0x%08X 0x%08X\ \n", ProcessHandle,DesiredAccess,ObjectAttributes,ParentProcess,InheritObjectTable,SectionHandle,DebugPort,ExceptionPort,Unknown\ ); //DbgPrint("ok"); return OldNtCreateProcessEx(ProcessHandle,DesiredAccess, ObjectAttributes,ParentProcess,InheritObjectTable,SectionHandle,DebugPort,ExceptionPort,Unknown); 这些代码也都是网上找的 但是就是调试不过 } |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
HOOK了 这个果然可以,但是 运行下去还是会蓝 求大牛指点啊!! NTSTATUS __stdcall MyNtCreateProcessEx( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN HANDLE InheritFromProcessHandle, IN ULONG CreateFlags, IN HANDLE SectionHandle OPTIONAL, IN HANDLE DebugObject OPTIONAL, IN HANDLE ExceptionPort OPTIONAL, IN ULONG JobMemberLevel ) { NTSTATUS state = realCreateProcess(ProcessHandle, DesiredAccess, ObjectAttributes, InheritFromProcessHandle, CreateFlags, SectionHandle , DebugObject , ExceptionPort , JobMemberLevel); DbgPrint("MyNtCreateProcess() called"); if(NT_SUCCESS(state) || ObjectAttributes) { DbgPrint( "ObjectName: %s\n", ObjectAttributes->ObjectName ); return state; } else return STATUS_ACCESS_DENIED; } |
|
[求助]请问 大牛欢愉ssdt hook NtOpenProcess问题
谢谢楼上 那么NtOpenProcess 直接return STATUS_ACCESS_DENIED; 为什么会对程序没有任何影响呢 |
|
[求助]再请教,西西,KiAttachProcess这个函数是否导出的,该怎么用呢?
什么叫第一个E8 call |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值