[原创]SSDT Hook For Delphi-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]SSDT Hook For Delphi

发表于: 2008-4-23 11:49 18076

[原创]SSDT Hook For Delphi

Anskya

2008-4-23 11:49

18076

关于SSDT Hook的理论知识就不多说了。
简单的说一下Delphi开发KMD的一些需要注意的地方...

这里使用DDDK---有点自己修改过的痕迹不过区别不大...自己可以看代码
1.KeServiceDescriptorTable是一个很特殊的函数...如果直接使用implib来进行创建库的话
你会发现这个函数是被忽略的...因为偏移为0所以这个函数基本上只能起到标志作用没有任何实用价值....一些代码中出现了

function SystemService(AFunc:Pointer):PLONG;
begin
 Result:=PLONG(Cardinal(KeServiceDescriptorTable^.ServiceTableBase)+SizeOf(ULONG)*PULONG(ULONG(AFunc)+1)^);
end;

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

NtOpenProcess[SSDT Hook].rar （9.23kb，529次下载）

收藏・12

免费・7

支持

最新回复 (20)
有点累了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	有点累了 2 楼支持，王 2008-4-23 11:54 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 3 楼呵呵，虽然不懂dephi，但是好贴还是要顶的。 2008-4-23 12:25 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 4 楼 KeServiceDescriptorTable是一个很特殊的函数.... KeServiceDescriptorTable不是函数！ 2008-4-23 13:01 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 5 楼女王很好~~ 2008-4-23 13:02 0
smnk 雪币： 158 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 0 关注私信	smnk 6 楼顶下小0~~~~~ 2008-4-23 20:37 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 7 楼进来支持女王大牛偶不懂delphi。。不过KeServiceDescriptorTable这个是导出函数，在C的DDK里面可以直接extern 能够得到正确的系统地址 2008-4-23 21:03 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 8 楼如何加载这个sys呢。。 2008-4-23 21:57 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 9 楼变量而已。。。 2008-4-24 08:55 0
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 10 楼 [quote=靴子] 如何加载这个sys呢。。 [/quote] 自己编写或随便找个能加载sys的软件如:InstDRV 2008-4-24 09:12 0
迷茫小猪雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 151 粉丝 0 关注私信	迷茫小猪 11 楼是不是跟API HOOK差不多呀 2008-4-24 10:04 0
myqingniao 雪币： 215 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 0 关注私信	myqingniao 12 楼这个女的真的很厉害啊！牛一个 2008-4-24 22:57 0
海浪轻风雪币： 241 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 82 粉丝 0 关注私信	海浪轻风 1 13 楼支持牛人!! 2008-4-25 09:03 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 14 楼你怎么知道别人是女的？顶一个 2008-5-27 21:17 0
dalong 雪币： 222 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 1 关注私信	dalong 15 楼初学驱动,看不大明白,LZ发布的SSDT Hook For Delphi 这个程序和楼主发布的Pure Delphi Code恢复驱动哪个好用,容易上手?? 好像卡巴已经杀了SSDT Hook For Delphi 这个驱动了吧,我安装后驱动没能恢复呀! 2008-7-29 11:29 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 16 楼谢谢了~下载来看下· 2009-6-7 10:27 0
松松雪币： 221 活跃值： (44) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 110 粉丝 0 关注私信	松松 1 17 楼标记一下...需要是看 2009-6-10 22:18 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 18 楼顶顶顶顶顶顶顶 2009-6-30 20:01 0
yuxuegong 雪币： 244 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	yuxuegong 19 楼终于找到delphi了 2009-9-1 01:20 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 20 楼 KeServiceDescriptorTable 这个可以直接得到地址，或者用类似于win32的GetProcAddress(handle, name)的方法得到。 2009-9-1 08:52 0
hystat 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 134 粉丝 0 关注私信	hystat 21 楼项!绝世好贴! 2009-12-22 12:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Anskya

发帖

回帖

810

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
有点累了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	有点累了 2 楼支持，王 2008-4-23 11:54 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 3 楼呵呵，虽然不懂dephi，但是好贴还是要顶的。 2008-4-23 12:25 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 4 楼 KeServiceDescriptorTable是一个很特殊的函数.... KeServiceDescriptorTable不是函数！ 2008-4-23 13:01 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 5 楼女王很好~~ 2008-4-23 13:02 0
smnk 雪币： 158 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 0 关注私信	smnk 6 楼顶下小0~~~~~ 2008-4-23 20:37 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 7 楼进来支持女王大牛偶不懂delphi。。不过KeServiceDescriptorTable这个是导出函数，在C的DDK里面可以直接extern 能够得到正确的系统地址 2008-4-23 21:03 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 8 楼如何加载这个sys呢。。 2008-4-23 21:57 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 9 楼变量而已。。。 2008-4-24 08:55 0
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 10 楼 [quote=靴子] 如何加载这个sys呢。。 [/quote] 自己编写或随便找个能加载sys的软件如:InstDRV 2008-4-24 09:12 0
迷茫小猪雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 151 粉丝 0 关注私信	迷茫小猪 11 楼是不是跟API HOOK差不多呀 2008-4-24 10:04 0
myqingniao 雪币： 215 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 0 关注私信	myqingniao 12 楼这个女的真的很厉害啊！牛一个 2008-4-24 22:57 0
海浪轻风雪币： 241 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 82 粉丝 0 关注私信	海浪轻风 1 13 楼支持牛人!! 2008-4-25 09:03 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 14 楼你怎么知道别人是女的？顶一个 2008-5-27 21:17 0
dalong 雪币： 222 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 1 关注私信	dalong 15 楼初学驱动,看不大明白,LZ发布的SSDT Hook For Delphi 这个程序和楼主发布的Pure Delphi Code恢复驱动哪个好用,容易上手?? 好像卡巴已经杀了SSDT Hook For Delphi 这个驱动了吧,我安装后驱动没能恢复呀! 2008-7-29 11:29 0
xushanfeng 雪币： 103 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	xushanfeng 16 楼谢谢了~下载来看下· 2009-6-7 10:27 0
松松雪币： 221 活跃值： (44) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 110 粉丝 0 关注私信	松松 1 17 楼标记一下...需要是看 2009-6-10 22:18 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 18 楼顶顶顶顶顶顶顶 2009-6-30 20:01 0
yuxuegong 雪币： 244 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	yuxuegong 19 楼终于找到delphi了 2009-9-1 01:20 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 20 楼 KeServiceDescriptorTable 这个可以直接得到地址，或者用类似于win32的GetProcAddress(handle, name)的方法得到。 2009-9-1 08:52 0
hystat 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 134 粉丝 0 关注私信	hystat 21 楼项!绝世好贴! 2009-12-22 12:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复