关于ssdt 对抗inline hook-经典问答-看雪-安全社区|安全招聘|kanxue.com

关于ssdt 对抗inline hook

发表于: 2010-3-20 18:35 5082

关于ssdt 对抗inline hook

darkbot

活跃值

2010-3-20 18:35

5082

拜读堕落天才大神的文章之后因为他是对抗NtOpenProcess的所以我想改下改成NtReadVirtualMemory。
但是不知道为什么编译不了说没有声明.

JmpREadd =(ULONG)NtReadVirtualMemory + 10; //这行出错的请问需要怎么声明？我看过他NtOpenProcess并没有声明或者是我看错了请各位大牛指点一二小弟出学驱动.

e:\first\first.c(88) : error C2065: 'NtReadVirtualMemory' : undeclared identifier

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・1

免费

支持

分享

最新回复 (7)
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 2 楼 error C2065: 'NtReadVirtualMemory' : undeclared identifier 看提示是说这个函数未定义啊！你是不是要把函数原型给定义一下呀。之后在用。不明白的话加我QQ121935930，一起看看。 2010-3-20 20:17 0
upant 雪币： 290 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	upant 3 楼 NTSYSAPI NTSTATUS NTAPI NtReadVirtualMemory( IN HANDLE ProcessHandle, IN PVOID BaseAddress, OUT PVOID Buffer, IN ULONG NumberOfBytesToRead, OUT PULONG NumberOfBytesReaded OPTIONAL ); sources 文件中加入 TARGETLIBS=$(DDK_LIB_PATH)\ntdll.lib 2010-3-21 15:43 0
darkbot 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 55 粉丝 0 关注私信	darkbot 4 楼感谢指教可以编译通过了但我是用monitor加载之后会出现error(127) 找不到指定的程序请问能为我解惑么 2010-3-21 17:36 0
upant 雪币： 290 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	upant 5 楼要获得地址的话，给你一个zzage大牛发的函数。 DWORD GetDllFunctionAddress(char* lpFunctionName, PUNICODE_STRING pDllName) { HANDLE hThread, hSection, hFile, hMod; SECTION_IMAGE_INFORMATION sii; IMAGE_DOS_HEADER* dosheader; IMAGE_OPTIONAL_HEADER* opthdr; IMAGE_EXPORT_DIRECTORY* pExportTable; DWORD* arrayOfFunctionAddresses; DWORD* arrayOfFunctionNames; WORD* arrayOfFunctionOrdinals; DWORD functionOrdinal; DWORD Base, x, functionAddress; char* functionName; STRING ntFunctionName, ntFunctionNameSearch; PVOID BaseAddress = NULL; SIZE_T size=0; OBJECT_ATTRIBUTES oa = {sizeof oa, 0, pDllName, OBJ_CASE_INSENSITIVE}; IO_STATUS_BLOCK iosb; ZwOpenFile(&hFile, FILE_EXECUTE \| SYNCHRONIZE, &oa, &iosb, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT); oa.ObjectName = 0; ZwCreateSection(&hSection, SECTION_ALL_ACCESS, &oa, 0,PAGE_EXECUTE, SEC_IMAGE, hFile); ZwMapViewOfSection(hSection, NtCurrentProcess(), &BaseAddress, 0, 1000, 0, &size, (SECTION_INHERIT)1, MEM_TOP_DOWN, PAGE_READWRITE); ZwClose(hFile); hMod = BaseAddress; dosheader = (IMAGE_DOS_HEADER )hMod; opthdr =(IMAGE_OPTIONAL_HEADER ) ((BYTE)hMod+dosheader->e_lfanew+24); pExportTable =(IMAGE_EXPORT_DIRECTORY)((BYTE) hMod + opthdr->DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT]. VirtualAddress); arrayOfFunctionAddresses = (DWORD)( (BYTE)hMod + pExportTable->AddressOfFunctions); arrayOfFunctionNames = (DWORD)( (BYTE)hMod + pExportTable->AddressOfNames); arrayOfFunctionOrdinals = (WORD)( (BYTE)hMod + pExportTable->AddressOfNameOrdinals); Base = pExportTable->Base; RtlInitString(&ntFunctionNameSearch, lpFunctionName); for(x = 0; x < pExportTable->NumberOfFunctions; x++) { functionName = (char)( (BYTE)hMod + arrayOfFunctionNames[x]); RtlInitString(&ntFunctionName, functionName); functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1; functionAddress = (DWORD)( (BYTE)hMod + arrayOfFunctionAddresses[functionOrdinal]); if (RtlCompareString(&ntFunctionName, &ntFunctionNameSearch, TRUE) == 0) { ZwClose(hSection); return functionAddress; } } ZwClose(hSection); return 0; } 2010-3-22 00:41 0
LeoF 雪币： 249 活跃值： (25) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 95 粉丝 0 关注私信	LeoF 1 6 楼驱动没接触过~ 2010-3-22 09:58 0
skypismire 雪币： 75 活跃值： (883) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 3 关注私信	skypismire 1 7 楼这么问，即使是神，也爱莫能助 2010-3-22 17:38 0
zhuerhua 雪币： 451 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	zhuerhua 8 楼路过，支持一下 2010-7-4 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

darkbot

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区