[原创]SSDT Hook 详细过程-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]SSDT Hook 详细过程

发表于: 2013-12-29 14:33 14240

[原创]SSDT Hook 详细过程

ztj

2013-12-29 14:33

14240

一。目标程序***********

//target.exe

int x=5;
int main()  
{  
 	while(1)
 	{
 		printf("%p %d",&x,x);
 		Sleep(20000);
 	}
}

int main()  
{  
	int pid=0;
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(pe32);
	HANDLE hProcessSnap =   
       ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
	if (hProcessSnap == INVALID_HANDLE_VALUE)
	{
		printf("CreateToolhelp32Snapshot 调用失败.\n");
		return -1;
	}
	BOOL bMore = ::Process32First(hProcessSnap,&pe32);
	while (bMore)
	{
		if(strcmp(pe32.szExeFile,"target.exe")==0)
		{
			pid=pe32.th32ProcessID;
			break;
		}
		bMore = ::Process32Next(hProcessSnap,&pe32);
	}
	::CloseHandle(hProcessSnap);
	HANDLE hOpen=OpenProcess(PROCESS_VM_READ, 0, pid);
	PVOID pbaseaddr=(PVOID)0x40bdc0;
	DWORD data=0;
	DWORD readlen=0;
	printf("%x",hOpen);
	ReadProcessMemory(hOpen,pbaseaddr,&data,4,&readlen);
	printf("%d",data);
	system("pause");
	return 0;  
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

QQ截图20131229135241.jpg （26.04kb，23次下载）
QQ截图20131228154456.jpg （21.60kb，42次下载）
QQ截图20131228154534.jpg （11.22kb，26次下载）
QQ截图20131228154738.jpg （14.86kb，25次下载）
dd esp.jpg （29.90kb，13次下载）
bp j.jpg （93.32kb，21次下载）
result.jpg （31.65kb，14次下载）
dt.jpg （64.90kb，17次下载）
SSDT.zip （2.55kb，198次下载）
SSdt.jpg （120.87kb，40次下载）

收藏・43

免费・5

支持

最新回复 (17)
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 2 楼沙发我来做好文章多谢楼主 2013-12-29 20:19 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼 "这里用直接Hook SSDT"，为何截图成了inline了。是截图单独放的？ 2013-12-30 11:21 0
ztj 雪币： 72 活跃值： (74) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 16 粉丝 1 关注私信	ztj 4 楼 oh,截图弄错了，截图是后来弄的，后来是用inline hook的。就假装截图上写的是ssdt hook吧 2013-12-30 12:10 0
天行客雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	天行客 5 楼简单明了，好文章。 2013-12-30 13:59 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 6 楼那还是稍微注明一下。对于新手，或者说没有接触过的人来说，分不清SSDT 和inline 的。 2013-12-30 16:03 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 7 楼 mark 2013-12-30 16:18 0
doa007 雪币： 217 活跃值： (86) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 51 粉丝 0 关注私信	doa007 1 8 楼给个优秀也算是给初学点一点鼓励吧 2013-12-30 16:21 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 9 楼不错，辛苦了 2013-12-30 16:34 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 10 楼思路很明确 2013-12-30 19:42 0
scenic 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	scenic 11 楼 mark 2013-12-31 12:29 0
买啦个表雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	买啦个表 12 楼 FindAPIRVAByName呢？ 2014-1-3 10:59 0
mmkclub 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mmkclub 13 楼前面还能看懂，从第三部分编程实现就看不懂了，基础差啊！ kd> dt _EProcess是什么意思，后面就不知道在干什么了 2014-1-3 11:09 0
机器精灵雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	机器精灵 14 楼好文，强人 2014-1-3 13:31 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 15 楼学习！ 2014-1-4 00:36 0
小木鱼雪币： 193 活跃值： (857) 能力值： ( LV3，RANK：20 ) 在线值：发帖 97 回帖 343 粉丝 3 关注私信	小木鱼 16 楼系统内核都被玩成这样了，只能膜拜了。 2014-1-4 17:32 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 17 楼 mark一下 2014-1-4 19:24 0
Henzox 雪币： 28 活跃值： (42) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	Henzox 18 楼截图中的那个工具蛮好用的！ 2014-2-18 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ztj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 2 楼沙发我来做好文章多谢楼主 2013-12-29 20:19 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼 "这里用直接Hook SSDT"，为何截图成了inline了。是截图单独放的？ 2013-12-30 11:21 0
ztj 雪币： 72 活跃值： (74) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 16 粉丝 1 关注私信	ztj 4 楼 oh,截图弄错了，截图是后来弄的，后来是用inline hook的。就假装截图上写的是ssdt hook吧 2013-12-30 12:10 0
天行客雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	天行客 5 楼简单明了，好文章。 2013-12-30 13:59 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 6 楼那还是稍微注明一下。对于新手，或者说没有接触过的人来说，分不清SSDT 和inline 的。 2013-12-30 16:03 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 7 楼 mark 2013-12-30 16:18 0
doa007 雪币： 217 活跃值： (86) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 51 粉丝 0 关注私信	doa007 1 8 楼给个优秀也算是给初学点一点鼓励吧 2013-12-30 16:21 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 9 楼不错，辛苦了 2013-12-30 16:34 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 10 楼思路很明确 2013-12-30 19:42 0
scenic 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	scenic 11 楼 mark 2013-12-31 12:29 0
买啦个表雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	买啦个表 12 楼 FindAPIRVAByName呢？ 2014-1-3 10:59 0
mmkclub 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mmkclub 13 楼前面还能看懂，从第三部分编程实现就看不懂了，基础差啊！ kd> dt _EProcess是什么意思，后面就不知道在干什么了 2014-1-3 11:09 0
机器精灵雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	机器精灵 14 楼好文，强人 2014-1-3 13:31 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 15 楼学习！ 2014-1-4 00:36 0
小木鱼雪币： 193 活跃值： (857) 能力值： ( LV3，RANK：20 ) 在线值：发帖 97 回帖 343 粉丝 3 关注私信	小木鱼 16 楼系统内核都被玩成这样了，只能膜拜了。 2014-1-4 17:32 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 17 楼 mark一下 2014-1-4 19:24 0
Henzox 雪币： 28 活跃值： (42) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	Henzox 18 楼截图中的那个工具蛮好用的！ 2014-2-18 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复