首页
社区
课程
招聘
SSDT HOOK TerminateProcess驱动保护记事本 任务管理器仍旧能关闭
发表于: 2022-5-21 14:18 5973

SSDT HOOK TerminateProcess驱动保护记事本 任务管理器仍旧能关闭

2022-5-21 14:18
5973

前置工作

cr0的写保护已关闭
SSDT表所在的页表(PTE)的可写属性已经开启

 

hook函数如下:
图片描述


驱动保护测试

  1. 使用任务管理器-》结束进程
    图片描述
    图片描述
    成功!
    WinDbg调试信息:
    图片描述

  2. 直接关闭记事本窗口
    正常关闭
    WinDbg调试信息:
    图片描述

  3. 使用任务管理器-》结束任务
    图片描述
    正常关闭未报错
    WinDbg调试信息:
    图片描述

就我想请问一下,为什么通过窗口关闭和任务管理器结束任务关闭,两者传入内核的参数完全一样,而且会调用两次HOOK函数(第一次为[0,0] 第二次为[-1,0]),而通过结束进程仅调用一次,欢迎各位大神来交流解惑


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2

补充一下系统版本

2022-5-21 14:24
0
雪    币: 5341
活跃值: (3407)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
https://bbs.pediy.com/thread-272461.htm 是不是和这个相似?
2022-5-27 11:07
0
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
ezre https://bbs.pediy.com/thread-272461.htm 是不是和这个相似?
感谢感谢!一下子懂了
2022-5-28 20:24
0
游客
登录 | 注册 方可回帖
返回
//