[原创]在WIN64上的SSDT HOOK NtTerminateProcess

Tesla.Angela

先放个BIN给大家围观一下。。。
驱动无花无壳，可以放到IDA里逆，不过不能F5，因为IDA里的F5插件貌似还不能支持X64。。。
HOOK了NtTerminateProcess保护LoadDrv.exe不被TaskMgr结束。。。

pic

警告：此程序在没有破解内核的WIN7 X64上使用，会触发PatchGuard引起蓝屏。
Warning: If you use this program in WIN7 X64 without "crack kernel", it will trigger PatchGuard and cause BSOD.

xmlpull

{:soso_e121:}支持老大作品！！！！！！

huzhao23

SSDT hook 好像会被KeCheckBugEx 检测到， 并且不是立即检测到，而是延迟一段时间，如果直接修改SSDT表的话。

Tesla.Angela

huzhao23 发表于 2012-1-28 13:26
SSDT hook 好像会被KeCheckBugEx 检测到， 并且不是立即检测到，而是延迟一段时间，如果直接修改SSDT表的话 ...

没有金刚钻，不揽瓷器活。玩这些把戏，必然有准备。
http://www.vbasm.com/thread-5893-1-1.html

huzhao23

Tesla.Angela 发表于 2012-1-28 17:20
没有金刚钻，不揽瓷器活。玩这些把戏，必然有准备。
http://www.vbasm.com/thread-5893-1-1.html ...

从产品的角度来说的话，为了用上SSDT Hook ， 如果废除了内核保护机制，可能对用户的机器会有影响. 希望能有一个温和的办法解决这个矛盾。。

lgsnake

老大真实牛人啊，就是不清楚为啥取个vb？难道老大以前学vb的？

opq211211

huzhao23 说的有道理  
disable PG是有些不和谐
如果能 pass PG那是最好的

opq211211

我的意思是让PG绕过检测我们的HOOK  而且能正常检测内核的其它地方

wenh7788

opq211211 发表于 2012-2-13 17:32
我的意思是让PG绕过检测我们的HOOK  而且能正常检测内核的其它地方

+1

wenh7788

老大，我好想要这个附件啊。

wenh7788

老大还有一个问题，为什么我的debugview 看不到打印信息 你的怎么可以？

iloveqqp

連看Bin權限都沒...{:soso_e103:}

281889880

我的水晶~~~

rootsule

ssdt直接写入NtTerminate换算后的地址为什么不行?call r10,r10是64位寄存器,为什么非要在同一4GB才能call? 是因为不在ntkrnlmp的代码段?而jmp支持不在同一代码段的跳转?

rootsule

额,自己跟出来了

hcaihao

求源码下载

hcaihao

弱弱的问下阅读权限怎么增加

watchsky

wenh7788 发表于 2012-2-22 16:40
老大还有一个问题，为什么我的debugview 看不到打印信息 你的怎么可以？

注册表下加个键值，重启

Tesla.Angela

hcaihao 发表于 2012-5-31 16:02
弱弱的问下阅读权限怎么增加

看置顶贴：http://www.m5home.com/bbs/thread-4478-1-1.html

kk1025

支持樓主的作品

hacksec

对X64了解的不多。支持楼主。32位下SSDT之类的hook简单。

wh0721

谢谢楼主分享

shadow

怎么不让购买啊！！

upring

好贴顶一下