首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助][求助]win7的 SSDT HOOK引擎怎么制作[大牛来帮帮我吧]
发表于: 2012-5-23 13:01 6285

[求助][求助]win7的 SSDT HOOK引擎怎么制作[大牛来帮帮我吧]

小烦 活跃值
1
2012-5-23 13:01
6285
void MemoryWritable()
{
	__asm 
	{
		cli
		mov eax,cr0
		and eax,not 10000h 
		mov cr0,eax	
	}
}

void MemoryNotWritable()
{
	__asm 
	{  
		mov     eax, cr0 
		or     eax, 10000h 
		mov     cr0, eax 
		sti 
	} 
}
int SSDTHookEngine(int nSSDTIndex,int nFunctionAddr)
{
	MemoryWritable();
	
	int nOldAddr;
	
	__asm
	{
		mov ebx,nSSDTIndex
		shl ebx,2
		mov eax,KeServiceDescriptorTable
		mov eax,[eax]
		add eax,ebx
		mov ecx,[eax]
		mov nOldAddr,ecx
		mov ecx,nFunctionAddr
		mov [eax],ecx
	}
	
	MemoryNotWritable();
	
	return nOldAddr;
}


这个是xp的SSDT的hook引擎
我想做个win7的
大牛来帮帮我吧

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
MagicFuzzX
雪    币: 12
活跃值: (767)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
名字带个Engine的就是引擎级了。。。
2012-5-23 13:12
0
jerrylhj
雪    币: 349
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这顶多算个Demo吧。要算引擎,还不累死人。
2012-5-23 13:23
0
ydfivy
雪    币: 579
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这个引擎很精减。看样子不错。学习了。
2012-5-23 13:50
0
kingcomer
雪    币: 73
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
nSSDTIndex的值还要自己计算的呀?
2012-5-25 08:25
0
jasonnbfan
雪    币: 949
活跃值: (18)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
6
写个宏获取Zw系列函数的Index
#define SSDT_FUNCINDEX(Function) (*(PDWORD)((PCHAR)Function+ 1)) //加一后是Index

比如ZwQuerySystemInformation
775361F8 ZwQ>/$  B8 05010000       MOV     EAX, 105
775361FD     |.  BA 0003FE7F       MOV     EDX, 7FFE0300
77536202     |.  FF12              CALL    DWORD PTR DS:[EDX]
77536204     \.  C2 1000           RETN    10

替换前先备份下SSDT。
2012-5-29 10:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//