求助WIN64 HOOK SSDT NtTerminateProcess

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了求助WIN64 HOOK SSDT NtTerminateProcess相关的知识,希望对你有一定的参考价值。

参考技术A SSDT hook 好像会被KeCheckBugEx 检测到, 并且不是立即检测到,而是延迟一段时间,如果直接修改SSDT表的话

SSDT HOOK 框架设计思路

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html

SSDT HOOK 框架设计思路

 

代码 3-4

1. 驱动中用户输入PID,通过一系列函数和遍历模块来确定对应的ntdll模块。

技术图片

 

2. 在ntdll模块的导出表,通过遍历名字来获取函数导出序号。

  其Ntdll中Zw函数开头为 mov eax,序列号,因此我们从第二个字节后获取的就是对应的序列号。

 技术图片

 

 

3. 找到索引之后,直接从导出表 KeServiceDescriptorTable 中直接获取,如果记不住该导出变量,直接用IDA搜索 ntoskernl.exe 中的导出模块即可。

 注意,其修改时要关闭Cr0的写保护,这很简单。
  技术图片

 

 

 

 

4. Hook NtQuerySystemInforMation函数的效果

 

技术图片

 

 

 

 

 

 

 



  

 

  

 

以上是关于求助WIN64 HOOK SSDT NtTerminateProcess的主要内容,如果未能解决你的问题,请参考以下文章

win 64 SSDT HOOK

win 64 Shadow ssdt hook

SSDT HOOK win7下还能使用吗 进程隐藏相关

HOOK集合----SSDT Inline Hook(X86 win7)

SSDT HOOK win7下还能使用吗 进程隐藏相关

Kaspersky 7.0 HOOK SSDT分析