所谓SSDT HOOK就是将SSDT表中相应服务号的函数地址改为自己的函数,在自己的函数中进行相应处理后,回调原函数。这样说不知大家可否明白? 3、INLINE SSDT HOOK 当SSDT成为菜B才挂的HOOK后,就又出现了INLINE SSDT HOOK了。 所谓INLINE就是直接修改相应功能服务号函数代码流程,一般是在前5字节
SSDT hook——todo,待实践,并用pchunter 前言 进程保护是众多 AV 或者病毒都要所具备的基础功能,本文就 0 环下通过 SSDT 来对进程进行保护进行探究,SSDT 也不是什么新技术,但作为学习,老的技术我们同样需要掌握。 什么是 SSDT SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 首先要明确的是...
1. 没有安装360的干净系统没有被HOOK: 2. 安装360之后, 再次查看, 发现被HOOK了。 2017-4-19 14:13 0 空白即是正义 7 楼 SSSDT让他勾吧 360大法保平安 2017-4-20 00:30 0 a齐冰 8 楼 你这个都不用猜,一看就是用了QQ 2017-4-20 02:35 0 a齐冰 9 楼 WINDBG 管理员权限启动 那...
一. 什么是SSDT SSDT(System Services Descriptor Table),系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 通过修改此表的函数地址可以对常用windows函数及API进行hook...
OldServiceAddress = *(ULONG*)Address;//保存原来读的地址*((ULONG*)Address) = (ULONG)MyNtReadVirtualMemory;//HOOK SSDT这两句语句中前一句中的*(ULONG*)Address 和后一句中的*((ULONG*)Address)有什么区别.代码是这样的VOID Hookd(){ ULONG Address, Address1;...
通过修改此表的函数地址可以对常用 windows 函数及 API 进行 hook,从而实现对一些关心 的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往 会采用此接口来实现自己的监控模块, 目前极个别病毒确实会采用这种方法来保护自己或者破坏防毒软件,但在这种病毒进入系统 前如果防毒软件能够识别...