[原创]Hook Shadow SSDT-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Hook Shadow SSDT

发表于: 2008-6-2 23:21 96962

[原创]Hook Shadow SSDT

sislcb

2008-6-2 23:21

96962

查看主题内容

收藏・147

免费・8

支持

最新回复 (70) ◀ 1 2 3 ▶
sinojiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sinojiang 26 楼请问为什么要费好大劲执行KeAttachProcess(crsEProc)，我试了一下把这个函数去掉，一样能够挂接成功啊。 2008-10-31 19:37 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 27 楼 Shadow SSDT不是常驻内存的，在那些没有GDI的线程中做就出错了。 2008-10-31 20:45 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 28 楼目前QQ三国游戏中，也采用了类似的手法，hook shadow ssdt。保护常规的API函数。怪不得获取不到QQ三国游戏的句柄，大家有谁可以获取到吗？一些人说GetWindowText和GetNextWindow一起用可以，但是谁做出来了？可以说下吗？我不是做外挂，只是需要QQ三国游戏的句柄。 2008-11-3 19:07 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 29 楼 good article 2008-11-3 20:45 0
showbu 雪币： 222 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	showbu 1 30 楼很不错,收藏了 2008-11-5 18:29 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 31 楼就没人发个DELPHI版本的 2008-11-21 17:50 0
kagayaki 雪币： 1324 活跃值： (5179) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 32 楼非常感谢!!!! 2008-11-26 14:05 0
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 33 楼 VISTA 不能用了SSDT了 2008-11-26 17:05 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 34 楼用工具恢复楼主所说的那几个hook就可以FindWindow获取qq三国的句柄了，但是tessafe.sys应该会检测，最好是先停掉system的tessafe.sys模块线程，不然又要和bsod见面了 2008-11-26 18:30 0
kevinqing 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kevinqing 35 楼干掉这个就行了NtValidHandleSecure 2008-11-27 14:52 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 36 楼怎么我编译好了，三层的就是不能用？ 2009-3-11 03:19 0
majiming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	majiming 37 楼太好了，谢谢 2009-3-11 10:52 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 38 楼好东西一定动手支持 2009-5-14 11:57 0
大可雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	大可 39 楼 thanks for sharing ^^ 2009-6-24 01:28 0
ljmwork 雪币： 211 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ljmwork 40 楼 vista 定位csrss进程的代码已经不适用了，lz的代码只能应用于winxp系统，其他系统都不适用 2009-6-25 17:12 0
tearz 雪币： 201 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	tearz 41 楼看不懂...以后再学习~ 2009-7-4 11:03 0
星河互动雪币： 238 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	星河互动 42 楼顶..................学习中..... 2009-8-18 00:46 0
Music小冷雪币： 376 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	Music小冷 43 楼请问可以停掉"停掉system的tessafe.sys模块线程"的软件是什么啊？我一直没找到。。。 2009-8-18 12:06 0
wictilas 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wictilas 44 楼学习了，，有用 2009-9-11 13:30 0
vivid 雪币： 486 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	vivid 45 楼顶一下先，在慢慢看！ 2009-9-28 19:00 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 46 楼下载代码慢慢看.占座学习 2009-9-29 15:28 0
dapro 雪币： 244 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 161 粉丝 0 关注私信	dapro 47 楼不错！（至少6个字符） 2009-10-21 12:59 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 48 楼 NTSTATUS MyNtUserBuildHwndList(IN HDESK hdesk, IN HWND hwndNext, IN ULONG fEnumChildren, IN DWORD idThread, IN UINT cHwndMax, OUT HWND phwndFirst, OUT ULONG pcHwndNeeded) { NTSTATUS result; if (PsGetCurrentProcessId()!=ProcessIdToProtect) { ULONG ProcessID; if (fEnumChildren==1) { ProcessID = g_OriginalNtUserQueryWindow((ULONG)hwndNext, 0); if (ProcessID==(ULONG)ProcessIdToProtect) return STATUS_UNSUCCESSFUL; } ........ 这个函数中的 if (fEnumChildren==1)判断是起什么作用的？ 2009-11-3 13:33 0
cjhuengame 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	cjhuengame 49 楼多谢了，正在找这东西 2010-1-22 16:24 0
doa007 雪币： 217 活跃值： (86) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 51 粉丝 0 关注私信	doa007 1 50 楼 switch(controlCode) { case IO_PROTECT: ProcessIdToProtect = (HANDLE)irpStack->Parameters.DeviceIoControl.Type3InputBuffer; DbgPrint("IO_PROTECT:%d", ProcessIdToProtect); break; default: break; } Irp->IoStatus.Status = STATUS_SUCCESS; Irp->IoStatus.Information = 0;//这个地方要把返回大小赋值给他的 IoCompleteRequest(Irp, IO_NO_INCREMENT); return status; } 应该这么写 if(status==STATUS_SUCCESS) Irp->IoStatus.Information = 返回大小或 outputLength else Irp->IoStatus.Information = 0; 看来楼主在入门的时候用了easySYS之类的工具，而没自己去从头写一个驱动版HelloWorld，故不知这个细节。这样一来METHOD_BUFFED或其它宏就都好用了 Irp->UserBuffer 与宏无关永远指向用户内存 2010-7-29 13:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sislcb

发帖

136

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (70) ◀ 1 2 3 ▶
sinojiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sinojiang 26 楼请问为什么要费好大劲执行KeAttachProcess(crsEProc)，我试了一下把这个函数去掉，一样能够挂接成功啊。 2008-10-31 19:37 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 27 楼 Shadow SSDT不是常驻内存的，在那些没有GDI的线程中做就出错了。 2008-10-31 20:45 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 28 楼目前QQ三国游戏中，也采用了类似的手法，hook shadow ssdt。保护常规的API函数。怪不得获取不到QQ三国游戏的句柄，大家有谁可以获取到吗？一些人说GetWindowText和GetNextWindow一起用可以，但是谁做出来了？可以说下吗？我不是做外挂，只是需要QQ三国游戏的句柄。 2008-11-3 19:07 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 29 楼 good article 2008-11-3 20:45 0
showbu 雪币： 222 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	showbu 1 30 楼很不错,收藏了 2008-11-5 18:29 0
escript 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 115 粉丝 0 关注私信	escript 31 楼就没人发个DELPHI版本的 2008-11-21 17:50 0
kagayaki 雪币： 1324 活跃值： (5179) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 32 楼非常感谢!!!! 2008-11-26 14:05 0
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 33 楼 VISTA 不能用了SSDT了 2008-11-26 17:05 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 34 楼用工具恢复楼主所说的那几个hook就可以FindWindow获取qq三国的句柄了，但是tessafe.sys应该会检测，最好是先停掉system的tessafe.sys模块线程，不然又要和bsod见面了 2008-11-26 18:30 0
kevinqing 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kevinqing 35 楼干掉这个就行了NtValidHandleSecure 2008-11-27 14:52 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 36 楼怎么我编译好了，三层的就是不能用？ 2009-3-11 03:19 0
majiming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	majiming 37 楼太好了，谢谢 2009-3-11 10:52 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 38 楼好东西一定动手支持 2009-5-14 11:57 0
大可雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	大可 39 楼 thanks for sharing ^^ 2009-6-24 01:28 0
ljmwork 雪币： 211 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ljmwork 40 楼 vista 定位csrss进程的代码已经不适用了，lz的代码只能应用于winxp系统，其他系统都不适用 2009-6-25 17:12 0
tearz 雪币： 201 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	tearz 41 楼看不懂...以后再学习~ 2009-7-4 11:03 0
星河互动雪币： 238 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	星河互动 42 楼顶..................学习中..... 2009-8-18 00:46 0
Music小冷雪币： 376 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	Music小冷 43 楼请问可以停掉"停掉system的tessafe.sys模块线程"的软件是什么啊？我一直没找到。。。 2009-8-18 12:06 0
wictilas 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wictilas 44 楼学习了，，有用 2009-9-11 13:30 0
vivid 雪币： 486 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	vivid 45 楼顶一下先，在慢慢看！ 2009-9-28 19:00 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 46 楼下载代码慢慢看.占座学习 2009-9-29 15:28 0
dapro 雪币： 244 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 161 粉丝 0 关注私信	dapro 47 楼不错！（至少6个字符） 2009-10-21 12:59 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 48 楼 NTSTATUS MyNtUserBuildHwndList(IN HDESK hdesk, IN HWND hwndNext, IN ULONG fEnumChildren, IN DWORD idThread, IN UINT cHwndMax, OUT HWND phwndFirst, OUT ULONG pcHwndNeeded) { NTSTATUS result; if (PsGetCurrentProcessId()!=ProcessIdToProtect) { ULONG ProcessID; if (fEnumChildren==1) { ProcessID = g_OriginalNtUserQueryWindow((ULONG)hwndNext, 0); if (ProcessID==(ULONG)ProcessIdToProtect) return STATUS_UNSUCCESSFUL; } ........ 这个函数中的 if (fEnumChildren==1)判断是起什么作用的？ 2009-11-3 13:33 0
cjhuengame 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	cjhuengame 49 楼多谢了，正在找这东西 2010-1-22 16:24 0
doa007 雪币： 217 活跃值： (86) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 51 粉丝 0 关注私信	doa007 1 50 楼 switch(controlCode) { case IO_PROTECT: ProcessIdToProtect = (HANDLE)irpStack->Parameters.DeviceIoControl.Type3InputBuffer; DbgPrint("IO_PROTECT:%d", ProcessIdToProtect); break; default: break; } Irp->IoStatus.Status = STATUS_SUCCESS; Irp->IoStatus.Information = 0;//这个地方要把返回大小赋值给他的 IoCompleteRequest(Irp, IO_NO_INCREMENT); return status; } 应该这么写 if(status==STATUS_SUCCESS) Irp->IoStatus.Information = 返回大小或 outputLength else Irp->IoStatus.Information = 0; 看来楼主在入门的时候用了easySYS之类的工具，而没自己去从头写一个驱动版HelloWorld，故不知这个细节。这样一来METHOD_BUFFED或其它宏就都好用了 Irp->UserBuffer 与宏无关永远指向用户内存 2010-7-29 13:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复