[原创](开源)一个简单的ssdthook进程名保护进程兼容2000以后所有x86系统-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创](开源)一个简单的ssdthook进程名保护进程兼容2000以后所有x86系统

发表于: 2010-12-6 13:46 33795

[原创](开源)一个简单的ssdthook进程名保护进程兼容2000以后所有x86系统

君君寒

2010-12-6 13:46

33795

大牛已经把这些玩的烂熟了
小小小菜鸟把一个修改了无数次的代码发出来
希望大家多多提出意见代码是非常的挫（本代码修改自一个网络博客的代码只是修改函数和部分通讯把r3 r0 通讯修改为进程名保护不需要通讯直接加载驱动就可以了
虽说不是原原创但是也是花了很多心血）

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

123.rar （75.24kb，406次下载）

收藏・21

免费・7

支持

最新回复 (40) 1 2 ▶
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼好像记得有人说过lookup后还要deref的 2010-12-6 14:44 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 3 楼希望多提一些意见现在稳定性什么的还是一个比较重要的事情---------测试了干净系统的 xp 2003 vista win7 都稳定 2008没测试过 x86的不是64位系统如果有测试蓝屏的大家一定要说下还有在2003系统下一定要记得数据执行保护允许否则可能会蓝伤心了第一次发的代码发错了无法编译居然没人提醒。。o... 2010-12-6 17:07 0
pinkchild 雪币： 138 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	pinkchild 4 楼支持楼主发源码。是要Obderefer的~ PsLookupProcessByProcessID increases the reference count on the object returned in the Process parameter. 2010-12-7 09:03 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 5 楼驱动下保护进程？看代码是不是hook openprocess啊？ 2010-12-7 23:23 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 6 楼对还有一个函数都是导出的菜鸟捣鼓的程序 2010-12-8 11:00 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 7 楼顶顶顶 2010-12-8 14:37 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 8 楼路过，看一下 2010-12-8 15:05 0
liein 雪币： 217 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	liein 9 楼支持有原码的,拿来学习了 ,THX FOR SHOW 2010-12-9 08:44 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 10 楼防止ring3足够啦，呵呵 2010-12-9 22:01 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 11 楼保护PID 比进程名更好吧。 2010-12-10 20:50 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 12 楼 pid是不固定的，进程名是固定的而且pid可以随机分配进程名可以分配么？最主要的是保护pid要ring3下通讯保护进程名不需要你说哪个更好？一般游戏都是固定的进程名，你见过固定pid的游戏么？你修改下原代码可以做ssdt inline hook ssdt hook ssdtshadow hook 如果你水平够高还可以弄一个类似白名单的东西过滤一些你要保护和不要保护的名单纯r0 不需要想通讯的问题。这个只是一个保护的例子。。用途不同应该没有好坏的差别的。。 2010-12-11 09:28 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 13 楼如果叫你保护指定一个 svchost.exe 进程请问你怎么做？你是不是把所有的svchost.exe 进程都保护？建意你还是多看看别人写的代码要淡定，不要鸡动 2010-12-11 21:08 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 14 楼你误解我的初衷了我是想保护某个非系统进程不是想保护系统进程而且系统进程保护也不需要这样吧。。。 2010-12-11 22:56 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 15 楼你也要了解的我的意思，我只是说下而以，一个建意。没有别的意思。 2010-12-15 10:07 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 16 楼 PsLookupProcessByProcessId() KeStackAttachProcess() ZwTerminateProcess(NULL,NULL) 2010-12-15 12:43 0
hovey 雪币： 211 活跃值： (152) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	hovey 17 楼不错，对于我这菜鸟来说 2010-12-15 14:03 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 18 楼你这个好多无用的函数比如DispatchDevCtl等为什么不删除？ 2010-12-16 14:54 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 19 楼这样就能关闭进程了 2010-12-16 14:56 0
ncsi 雪币： 116 活跃值： (316) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 20 楼谢谢你拉，我才刚学这个，谢谢你 2010-12-16 15:12 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 21 楼方便 ring3通讯扩展而且没太多影响啊。。。开原代码了你随便修改那 2010-12-27 13:36 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 22 楼 good！！ 2011-1-5 17:29 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 23 楼以后这个驱动被广泛应用的话，我只要把我的文件名改成和你的一样的就好了，不用费劲保护了，好.....哈哈 2011-1-5 18:48 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 24 楼能防DuplicateHandle不??R3就挂了 2011-1-9 22:04 0
binarystar 雪币： 251 活跃值： (77) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 223 粉丝 6 关注私信	binarystar 3 25 楼来顶一下姐姐的文章。纯顶帖。不懂。来学习。。。 2011-1-10 19:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

君君寒

发帖

1064

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼好像记得有人说过lookup后还要deref的 2010-12-6 14:44 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 3 楼希望多提一些意见现在稳定性什么的还是一个比较重要的事情---------测试了干净系统的 xp 2003 vista win7 都稳定 2008没测试过 x86的不是64位系统如果有测试蓝屏的大家一定要说下还有在2003系统下一定要记得数据执行保护允许否则可能会蓝伤心了第一次发的代码发错了无法编译居然没人提醒。。o... 2010-12-6 17:07 0
pinkchild 雪币： 138 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	pinkchild 4 楼支持楼主发源码。是要Obderefer的~ PsLookupProcessByProcessID increases the reference count on the object returned in the Process parameter. 2010-12-7 09:03 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 5 楼驱动下保护进程？看代码是不是hook openprocess啊？ 2010-12-7 23:23 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 6 楼对还有一个函数都是导出的菜鸟捣鼓的程序 2010-12-8 11:00 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 7 楼顶顶顶 2010-12-8 14:37 0
cyberad 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 98 粉丝 0 关注私信	cyberad 8 楼路过，看一下 2010-12-8 15:05 0
liein 雪币： 217 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	liein 9 楼支持有原码的,拿来学习了 ,THX FOR SHOW 2010-12-9 08:44 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 10 楼防止ring3足够啦，呵呵 2010-12-9 22:01 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 11 楼保护PID 比进程名更好吧。 2010-12-10 20:50 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 12 楼 pid是不固定的，进程名是固定的而且pid可以随机分配进程名可以分配么？最主要的是保护pid要ring3下通讯保护进程名不需要你说哪个更好？一般游戏都是固定的进程名，你见过固定pid的游戏么？你修改下原代码可以做ssdt inline hook ssdt hook ssdtshadow hook 如果你水平够高还可以弄一个类似白名单的东西过滤一些你要保护和不要保护的名单纯r0 不需要想通讯的问题。这个只是一个保护的例子。。用途不同应该没有好坏的差别的。。 2010-12-11 09:28 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 13 楼如果叫你保护指定一个 svchost.exe 进程请问你怎么做？你是不是把所有的svchost.exe 进程都保护？建意你还是多看看别人写的代码要淡定，不要鸡动 2010-12-11 21:08 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 14 楼你误解我的初衷了我是想保护某个非系统进程不是想保护系统进程而且系统进程保护也不需要这样吧。。。 2010-12-11 22:56 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 15 楼你也要了解的我的意思，我只是说下而以，一个建意。没有别的意思。 2010-12-15 10:07 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 16 楼 PsLookupProcessByProcessId() KeStackAttachProcess() ZwTerminateProcess(NULL,NULL) 2010-12-15 12:43 0
hovey 雪币： 211 活跃值： (152) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	hovey 17 楼不错，对于我这菜鸟来说 2010-12-15 14:03 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 18 楼你这个好多无用的函数比如DispatchDevCtl等为什么不删除？ 2010-12-16 14:54 0
qqijiq 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	qqijiq 19 楼这样就能关闭进程了 2010-12-16 14:56 0
ncsi 雪币： 116 活跃值： (316) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 20 楼谢谢你拉，我才刚学这个，谢谢你 2010-12-16 15:12 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 21 楼方便 ring3通讯扩展而且没太多影响啊。。。开原代码了你随便修改那 2010-12-27 13:36 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 22 楼 good！！ 2011-1-5 17:29 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 23 楼以后这个驱动被广泛应用的话，我只要把我的文件名改成和你的一样的就好了，不用费劲保护了，好.....哈哈 2011-1-5 18:48 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 24 楼能防DuplicateHandle不??R3就挂了 2011-1-9 22:04 0
binarystar 雪币： 251 活跃值： (77) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 223 粉丝 6 关注私信	binarystar 3 25 楼来顶一下姐姐的文章。纯顶帖。不懂。来学习。。。 2011-1-10 19:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创](开源)一个简单的ssdthook进程名 保护进程 兼容2000以后所有x86系统

[原创](开源)一个简单的ssdthook进程名保护进程兼容2000以后所有x86系统