[原创]在WIN64上的SSDT HOOK NtTerminateProcess

Tesla.Angela · 发表于 2012-1-27 22:43:52

先放个BIN给大家围观一下。。。
驱动无花无壳，可以放到IDA里逆，不过不能F5，因为IDA里的F5插件貌似还不能支持X64。。。
HOOK了NtTerminateProcess保护LoadDrv.exe不被TaskMgr结束。。。

pic

警告：此程序在没有破解内核的WIN7 X64上使用，会触发PatchGuard引起蓝屏。
Warning: If you use this program in WIN7 X64 without "crack kernel", it will trigger PatchGuard and cause BSOD.

xmlpull · 发表于 2012-1-27 23:50:02

{:soso_e121:}支持老大作品！！！！！！

huzhao23 · 发表于 2012-1-28 13:26:36

SSDT hook 好像会被KeCheckBugEx 检测到，并且不是立即检测到，而是延迟一段时间，如果直接修改SSDT表的话。

Tesla.Angela · 发表于 2012-1-28 17:20:24

huzhao23 发表于 2012-1-28 13:26
SSDT hook 好像会被KeCheckBugEx 检测到，并且不是立即检测到，而是延迟一段时间，如果直接修改SSDT表的话 ...

没有金刚钻，不揽瓷器活。玩这些把戏，必然有准备。
http://www.vbasm.com/thread-5893-1-1.html

huzhao23 · 发表于 2012-1-28 22:24:12

Tesla.Angela 发表于 2012-1-28 17:20
没有金刚钻，不揽瓷器活。玩这些把戏，必然有准备。
http://www.vbasm.com/thread-5893-1-1.html ...

从产品的角度来说的话，为了用上SSDT Hook ，如果废除了内核保护机制，可能对用户的机器会有影响. 希望能有一个温和的办法解决这个矛盾。。

lgsnake · 发表于 2012-2-10 15:42:00

老大真实牛人啊，就是不清楚为啥取个vb？难道老大以前学vb的？

opq211211 · 发表于 2012-2-13 17:30:58

huzhao23 说的有道理
disable PG是有些不和谐
如果能 pass PG那是最好的

opq211211 · 发表于 2012-2-13 17:32:36

我的意思是让PG绕过检测我们的HOOK 而且能正常检测内核的其它地方

wenh7788 · 发表于 2012-2-21 11:00:59

opq211211 发表于 2012-2-13 17:32
我的意思是让PG绕过检测我们的HOOK 而且能正常检测内核的其它地方

+1

wenh7788 · 发表于 2012-2-22 16:38:27

老大，我好想要这个附件啊。

帐号		自动登录	找回密码
密码			加入我们

[原创]在WIN64上的SSDT HOOK NtTerminateProcess

相关帖子

点评