如果当前获取到的msr是KiSystemCall64,直接从这个地址往下搜索0x500个字节 找到KiSystemServiceRepeat这个函数后, 特征码第一段的4C 8D 1D XX XX XX XX 是SSDT地址,第二段4C 8D 1D XX XX XX XX是Shadow SSDT地址 得到SSDT后可以通过dwOffset = *((PULONG)SSDT->ServiceTableBase + FuncIndex);获取到里面的...
找到KiSystemServiceRepeat这个函数后, 特征码第一段的4C 8D 1D XX XX XX XX 是SSDT地址, 第二段4C 8D 1D XX XX XX XX是Shadow SSDT地址 得到SSDT后可以通过 dwOffset = *((PULONG)SSDT->ServiceTableBase + FuncIndex); 获取到里面的函数偏移值, SSDT->ServiceTableBase+dwOffset就是函数地址 注意的是...
exph 因为之前看到有人说那些杀毒软件是通过HOOK SSDT来保护自己,或者是监控其他程序的,所以萌新想请教一下大佬,这些安全软件是是怎样做到的 “有人”说?你说的“有人”是xp时代的人吧,现在是0202年了。 2020-8-23 11:36 0 编程与少年 8 楼 有Patchguard,可以过pg后再hook或者用无限钩,都不会蓝屏。
由此可知,SSDT就是个保存Windows系统服务地址的数组。 0x03 SSDT hook原理 从上面的分析中我们可以看到SSDT数组中保存了系统服务的地址,如Ring0下的NtQuerySystemInformation系统服务地址,就保存在KeServiceDescriptorTable[ADh]中,既然hook就是取出这个地址后替换上我们的hook函数,在hook函数中执行原函数即可。 本文参与 ...
Win10x64pnglib Debug Win10x64pnglib Debug install 1> 已启动生成: 项目: INSTALL, 配置: Debugx641> -- Install configuration: "Debug"1> -- Installing: E:/pnglib/lpng_install/lib/l pnglib Rel 转载 mb5fe55992193c7 2019-10-19 15:19:00 ...
本工具目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、...
10.7.x Lion * 64-bit 10.8.x Mountain Lion (there is no 32-bit version) * 64-bit 10.9.x Mavericks (there is no 32-bit version) * 64-bit 10.10.x Yosemite (there is no 32-bit version) * 64-bit 10.11.x El Capitan (there is no 32-bit version) * 64-bit 10.12.x Sierra (...
本工具目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、Cr...
并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、...
本工具目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、Cr...