[原创]在WIN64上的SSDT HOOK NtTerminateProcess
先放个BIN给大家围观一下。。。驱动无花无壳,可以放到IDA里逆,不过不能F5,因为IDA里的F5插件貌似还不能支持X64。。。
HOOK了NtTerminateProcess保护LoadDrv.exe不被TaskMgr结束。。。
警告:此程序在没有破解内核的WIN7 X64上使用,会触发PatchGuard引起蓝屏。
Warning: If you use this program in WIN7 X64 without "crack kernel", it will trigger PatchGuard and cause BSOD. {:soso_e121:}支持老大作品!!!!!! SSDT hook 好像会被KeCheckBugEx 检测到, 并且不是立即检测到,而是延迟一段时间,如果直接修改SSDT表的话。 huzhao23 发表于 2012-1-28 13:26 static/image/common/back.gif
SSDT hook 好像会被KeCheckBugEx 检测到, 并且不是立即检测到,而是延迟一段时间,如果直接修改SSDT表的话 ...
没有金刚钻,不揽瓷器活。玩这些把戏,必然有准备。
http://www.vbasm.com/thread-5893-1-1.html Tesla.Angela 发表于 2012-1-28 17:20 static/image/common/back.gif
没有金刚钻,不揽瓷器活。玩这些把戏,必然有准备。
http://www.vbasm.com/thread-5893-1-1.html ...
从产品的角度来说的话,为了用上SSDT Hook , 如果废除了内核保护机制,可能对用户的机器会有影响. 希望能有一个温和的办法解决这个矛盾。。 老大真实牛人啊,就是不清楚为啥取个vb?难道老大以前学vb的? huzhao23 说的有道理
disable PG是有些不和谐
如果能 pass PG那是最好的 我的意思是让PG绕过检测我们的HOOK而且能正常检测内核的其它地方 opq211211 发表于 2012-2-13 17:32 static/image/common/back.gif
我的意思是让PG绕过检测我们的HOOK而且能正常检测内核的其它地方
+1 老大,我好想要这个附件啊。 老大还有一个问题,为什么我的debugview 看不到打印信息 你的怎么可以?
連看Bin權限都沒...{:soso_e103:} 我的水晶~~~ ssdt直接写入NtTerminate换算后的地址为什么不行?call r10,r10是64位寄存器,为什么非要在同一4GB才能call? 是因为不在ntkrnlmp的代码段?而jmp支持不在同一代码段的跳转? 额,自己跟出来了 求源码下载 弱弱的问下阅读权限怎么增加 wenh7788 发表于 2012-2-22 16:40 static/image/common/back.gif
老大还有一个问题,为什么我的debugview 看不到打印信息 你的怎么可以?
注册表下加个键值,重启 hcaihao 发表于 2012-5-31 16:02 static/image/common/back.gif
弱弱的问下阅读权限怎么增加
看置顶贴:http://www.m5home.com/bbs/thread-4478-1-1.html 支持樓主的作品 对X64了解的不多。支持楼主。32位下SSDT之类的hook简单。 谢谢楼主分享 怎么不让购买啊!! 好贴顶一下
页:
[1]