[原创]新手学ssdt_hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]新手学ssdt_hook

发表于: 2013-8-1 20:06 53735

[原创]新手学ssdt_hook

Speeday

2013-8-1 20:06

53735

查看主题内容

收藏・78

免费・6

支持

最新回复 (87) ◀ 1 2 3 4 ▶
shenger 雪币： 45 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 431 粉丝 0 关注私信	shenger 51 楼学到东西了，挺容易懂的 2013-8-5 15:53 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 52 楼爪子留下，写的很通俗易懂 2013-8-6 11:37 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 53 楼感谢支持。。 2013-8-6 15:30 0
kjliaorui 雪币： 180 活跃值： (80) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 64 粉丝 2 关注私信	kjliaorui 54 楼 SSDT HOOK 很古老的技术, 但很实用.拦截一些东西很方便. 2013-8-8 06:08 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 55 楼下载一课梦无极的教程就要10个金币,我们哪来那么多金币!还是请楼主把教程打包分享给大家吧我这样的新手都搞懂啦.比郁金香讲得好懂多了,郁金香把代码胡乱的的捣来捣去,让人搞不清来龙去脉,好像是讲给他自己看的. 2013-8-11 10:34 0
rocky火雀雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 0 关注私信	rocky火雀 56 楼正解~~~~~~~~~~~~~~~~~ 2013-8-17 16:28 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 57 楼呵呵，他把教程设置金币下载也是为了增加论坛人气，况且他的教程难道10个金币都不值么？ 2013-8-17 17:53 0
ZSYL 雪币： 16 活跃值： (420) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 58 楼我当初是看小马哥的城里城外看SSDT这篇文章的，个人认为是讲SSDT最生动通俗的了。传送门：http://blog.titilima.com/ssdt.html 2013-8-18 20:26 0
文夏之雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	文夏之 59 楼不错啊,辛苦了,写的很有意思 2013-8-19 17:25 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 60 楼看了下，是挺不错的，感谢分享。 2013-8-19 17:32 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 61 楼 ProtectProcess.实际上是自定义的一个假函数,作用是通过进程名比较来判断是不是要保护的进程. 有的地方将ObDereferenceObject解释为删除设备对象,跟你讲的有点异议. 2013-8-23 11:43 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 62 楼 ObDereferenceObject是将引用计数-1 当引用计数为0时.自然就删除了 2013-8-23 18:58 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 63 楼呵呵，之前你回帖的时候，没有提出问题。。看到楼上你基友回复我才看到你补充了问题， 2013-8-23 19:02 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 64 楼正解。。 2013-8-23 19:03 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 65 楼被保护的进程能够通过CE附加扫描. 卸载后二次启动就会失败 2013-8-29 10:53 0
lvbenke 雪币： 142 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 1 关注私信	lvbenke 66 楼楼主写的确实不错，非常容易理解。不过我还有一个问题 KeServiceDescriptorTable.ServiceTableBase[122];//保存原来的函数地址。这个122能用API获得吗？ 2013-8-29 14:43 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 67 楼 [QUOTE=lvbenke;1215928]楼主写的确实不错，非常容易理解。不过我还有一个问题 KeServiceDescriptorTable.ServiceTableBase[122];//保存原来的函数地址。这个122能用API获得吗？[/QUOTE] 我实在不理解为啥楼主hook ssdt服务号需要硬编……这个东西可以自己获得的…… 2013-8-29 14:50 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 68 楼呵呵，才开始学，怎么简单就怎么写。你想自动获取你就自动获取支吧。。 2013-8-29 20:31 0
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 69 楼多谢楼主，学习了 2013-8-29 20:36 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 70 楼只能说你操作有误。。 2013-8-29 20:38 0
秦虞。雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	秦虞。 71 楼学C++的伤不起，这条路好长…… 2013-8-30 00:54 0
TKnifeSoul 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	TKnifeSoul 72 楼楼主写的不错，我这个还没开始学驱动只知道有r3t和r0却不认识它们的的人都能大致看懂思路，特别是那个皇宫的例子不错！看过比喻后再看下面的对应关系解说感觉非常清晰！等以后学了驱动后再来具体研究~收藏了~ 2013-8-30 02:44 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 73 楼 make 2013-8-30 07:23 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 74 楼太感谢楼主了,终于找到个不用配置就能编译驱动成功的了 2013-9-7 17:21 0
浪流雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 59 粉丝 0 关注私信	浪流 75 楼这个文章写的真是深入浅出,便于理解.学习了.感谢. 2013-10-10 14:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Speeday

发帖

353

回帖

400

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (87) ◀ 1 2 3 4 ▶
shenger 雪币： 45 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 431 粉丝 0 关注私信	shenger 51 楼学到东西了，挺容易懂的 2013-8-5 15:53 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 52 楼爪子留下，写的很通俗易懂 2013-8-6 11:37 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 53 楼感谢支持。。 2013-8-6 15:30 0
kjliaorui 雪币： 180 活跃值： (80) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 64 粉丝 2 关注私信	kjliaorui 54 楼 SSDT HOOK 很古老的技术, 但很实用.拦截一些东西很方便. 2013-8-8 06:08 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 55 楼下载一课梦无极的教程就要10个金币,我们哪来那么多金币!还是请楼主把教程打包分享给大家吧我这样的新手都搞懂啦.比郁金香讲得好懂多了,郁金香把代码胡乱的的捣来捣去,让人搞不清来龙去脉,好像是讲给他自己看的. 2013-8-11 10:34 0
rocky火雀雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 0 关注私信	rocky火雀 56 楼正解~~~~~~~~~~~~~~~~~ 2013-8-17 16:28 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 57 楼呵呵，他把教程设置金币下载也是为了增加论坛人气，况且他的教程难道10个金币都不值么？ 2013-8-17 17:53 0
ZSYL 雪币： 16 活跃值： (420) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 58 楼我当初是看小马哥的城里城外看SSDT这篇文章的，个人认为是讲SSDT最生动通俗的了。传送门：http://blog.titilima.com/ssdt.html 2013-8-18 20:26 0
文夏之雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	文夏之 59 楼不错啊,辛苦了,写的很有意思 2013-8-19 17:25 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 60 楼看了下，是挺不错的，感谢分享。 2013-8-19 17:32 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 61 楼 ProtectProcess.实际上是自定义的一个假函数,作用是通过进程名比较来判断是不是要保护的进程. 有的地方将ObDereferenceObject解释为删除设备对象,跟你讲的有点异议. 2013-8-23 11:43 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 62 楼 ObDereferenceObject是将引用计数-1 当引用计数为0时.自然就删除了 2013-8-23 18:58 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 63 楼呵呵，之前你回帖的时候，没有提出问题。。看到楼上你基友回复我才看到你补充了问题， 2013-8-23 19:02 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 64 楼正解。。 2013-8-23 19:03 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 65 楼被保护的进程能够通过CE附加扫描. 卸载后二次启动就会失败 2013-8-29 10:53 0
lvbenke 雪币： 142 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 1 关注私信	lvbenke 66 楼楼主写的确实不错，非常容易理解。不过我还有一个问题 KeServiceDescriptorTable.ServiceTableBase[122];//保存原来的函数地址。这个122能用API获得吗？ 2013-8-29 14:43 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 67 楼 [QUOTE=lvbenke;1215928]楼主写的确实不错，非常容易理解。不过我还有一个问题 KeServiceDescriptorTable.ServiceTableBase[122];//保存原来的函数地址。这个122能用API获得吗？[/QUOTE] 我实在不理解为啥楼主hook ssdt服务号需要硬编……这个东西可以自己获得的…… 2013-8-29 14:50 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 68 楼呵呵，才开始学，怎么简单就怎么写。你想自动获取你就自动获取支吧。。 2013-8-29 20:31 0
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 69 楼多谢楼主，学习了 2013-8-29 20:36 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 70 楼只能说你操作有误。。 2013-8-29 20:38 0
秦虞。雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	秦虞。 71 楼学C++的伤不起，这条路好长…… 2013-8-30 00:54 0
TKnifeSoul 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	TKnifeSoul 72 楼楼主写的不错，我这个还没开始学驱动只知道有r3t和r0却不认识它们的的人都能大致看懂思路，特别是那个皇宫的例子不错！看过比喻后再看下面的对应关系解说感觉非常清晰！等以后学了驱动后再来具体研究~收藏了~ 2013-8-30 02:44 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 73 楼 make 2013-8-30 07:23 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 74 楼太感谢楼主了,终于找到个不用配置就能编译驱动成功的了 2013-9-7 17:21 0
浪流雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 59 粉丝 0 关注私信	浪流 75 楼这个文章写的真是深入浅出,便于理解.学习了.感谢. 2013-10-10 14:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复