SSDT HOOK TerminateProcess驱动保护记事本任务管理器仍旧能关闭-软件逆向-看雪-安全社区|安全招聘|kanxue.com

SSDT HOOK TerminateProcess驱动保护记事本任务管理器仍旧能关闭

发表于: 2022-5-21 14:18 5972

SSDT HOOK TerminateProcess驱动保护记事本任务管理器仍旧能关闭

肱桡鸡

活跃值

2022-5-21 14:18

5972

前置工作

cr0的写保护已关闭
SSDT表所在的页表（PTE）的可写属性已经开启

hook函数如下:
图片描述

驱动保护测试

使用任务管理器-》结束进程

成功！
WinDbg调试信息：
直接关闭记事本窗口
正常关闭
WinDbg调试信息：
使用任务管理器-》结束任务

正常关闭未报错
WinDbg调试信息：

就我想请问一下，为什么通过窗口关闭和任务管理器结束任务关闭，两者传入内核的参数完全一样，而且会调用两次HOOK函数（第一次为[0,0] 第二次为[-1,0]）,而通过结束进程仅调用一次，欢迎各位大神来交流解惑

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向 #系统底层 #软件保护

收藏・4

免费・1

支持

分享

最新回复 (3)
肱桡鸡雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 2 关注私信	肱桡鸡 2 楼补充一下系统版本 2022-5-21 14:24 0
ezre 雪币： 5341 活跃值： (3407) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	ezre 3 楼 https://bbs.pediy.com/thread-272461.htm 是不是和这个相似？ 2022-5-27 11:07 0
肱桡鸡雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 2 关注私信	肱桡鸡 4 楼 ezre https://bbs.pediy.com/thread-272461.htm 是不是和这个相似？感谢感谢！一下子懂了 2022-5-28 20:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

肱桡鸡

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//