[求助]SSDT_HOOK函数NtGetContextThread-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼贴代码看看呗 2011-7-10 13:05 0
染色体雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 144 粉丝 0 关注私信	染色体 3 楼 void ReGetContextThread(); ULONG NtGetContextThreadAddr; typedef NTSTATUS (WINAPI * _NtGetContextThreadAddr)(HANDLE hThread,PCONTEXT pContext); _NtGetContextThreadAddr MyNtGetContextThread; __declspec(naked) void CloseProtect() { _asm { cli push eax mov eax,cr0 and eax,not 10000h mov cr0,eax pop eax retn } } __declspec(naked) void ReProtect() { _asm { push eax mov eax,cr0 or eax,10000h mov cr0,eax pop eax sti retn } } __declspec (naked) NTSTATUS uNtGetConThread(HANDLE hThread,PCONTEXT pContext) { __asm jmp NtGetContextThreadAddr } NTSTATUS WINAPI MNtGetContextThread(HANDLE hThread,PCONTEXT pContext) { if(strcmp((char )((ULONG)pEp+0x174),"dnf.exe")==0) { pEp=PsGetCurrentProcess(); KdPrint(("%s 访问NtGetContextThread \n",(ULONG)pEp+0x174)); return STATUS_UNSUCCESSFUL; } return uNtGetConThread(hThread,pContext); } void ReGetContextThread() { //获取SSDT表中编号 85 NtGetContextThreadAddr=((ULONG )((ULONG)(KeServiceDescriptorTable->ServiceTableBase)+854)); //++++++++++执行SSDT HOOK ++++++++++++ //获取函数的SSDT地址 SSDT_ADDR=(ULONG)(KeServiceDescriptorTable->ServiceTableBase)+854; MyNtGetContextThread=MNtGetContextThread; //去保护 CloseProtect(); ((ULONG *)SSDT_ADDR)=(ULONG)MyNtGetContextThread; //恢复保护 ReProtect(); } 2011-7-10 13:49 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼 dnf.exe 是不是游戏检测到什么 2011-7-10 19:29 0
染色体雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 144 粉丝 0 关注私信	染色体 5 楼硬件断点。。。 2011-7-10 20:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼贴代码看看呗 2011-7-10 13:05 0
染色体雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 144 粉丝 0 关注私信	染色体 3 楼 void ReGetContextThread(); ULONG NtGetContextThreadAddr; typedef NTSTATUS (WINAPI * _NtGetContextThreadAddr)(HANDLE hThread,PCONTEXT pContext); _NtGetContextThreadAddr MyNtGetContextThread; __declspec(naked) void CloseProtect() { _asm { cli push eax mov eax,cr0 and eax,not 10000h mov cr0,eax pop eax retn } } __declspec(naked) void ReProtect() { _asm { push eax mov eax,cr0 or eax,10000h mov cr0,eax pop eax sti retn } } __declspec (naked) NTSTATUS uNtGetConThread(HANDLE hThread,PCONTEXT pContext) { __asm jmp NtGetContextThreadAddr } NTSTATUS WINAPI MNtGetContextThread(HANDLE hThread,PCONTEXT pContext) { if(strcmp((char )((ULONG)pEp+0x174),"dnf.exe")==0) { pEp=PsGetCurrentProcess(); KdPrint(("%s 访问NtGetContextThread \n",(ULONG)pEp+0x174)); return STATUS_UNSUCCESSFUL; } return uNtGetConThread(hThread,pContext); } void ReGetContextThread() { //获取SSDT表中编号 85 NtGetContextThreadAddr=((ULONG )((ULONG)(KeServiceDescriptorTable->ServiceTableBase)+854)); //++++++++++执行SSDT HOOK ++++++++++++ //获取函数的SSDT地址 SSDT_ADDR=(ULONG)(KeServiceDescriptorTable->ServiceTableBase)+854; MyNtGetContextThread=MNtGetContextThread; //去保护 CloseProtect(); ((ULONG *)SSDT_ADDR)=(ULONG)MyNtGetContextThread; //恢复保护 ReProtect(); } 2011-7-10 13:49 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼 dnf.exe 是不是游戏检测到什么 2011-7-10 19:29 0
染色体雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 144 粉丝 0 关注私信	染色体 5 楼硬件断点。。。 2011-7-10 20:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复