论坛 › C\C++交流 › 一个原创c语言+汇编的驱动程序 通过ssdt hook及inline hook和深层hook限制进程被访问

放肆的青春ゝ 发表于 2012-8-31 17:07:44

一个原创c语言+汇编的驱动程序 通过ssdt hook及inline hook和深层hook限制进程被访问

本帖最后由 放肆的青春ゝ 于 2012-9-3 08:44 编辑

进程保护实现方式:

NTOpenProcess                  ---打开进程
NTSetSystemInformation      --特殊方式加载驱动程序
NTTerminateprocess            --结束进程
NTNtCreateThread            --创建线程
ObOpenObjectByPointer       --NTOpenProcess深层函数调用


另外为了兼容一些深层ark进程结束而自己没收到释放消息造成的资源问题
注册了PsSetCreateProcessNotifyRoutine来接收进程退出的消息实时将进程PID从维护列表中抹去


为了防止访问冲突 可以使用自旋锁的地方都用自旋锁了
但是ObOpenObjectByPointer这里还有点问题 会不会蓝看RP吧 希望有牛人帮我改好呢~;P

内核驱动程序 打交道最多的就是指针这个驱动也是各种指针飞来飞去 不过希望不会让大家觉得很乱啊
ssdt其实就是一个指针链表ininle涉及jmp的地址运算 深层inline更是需要准确反运算原本指针地址
其实 深层次的东西 更可以和你直接使用函数名字得到的地址进行对比来查看是否已经被hook了 但是这块我没做
怕误人子弟

直接上源码

**** Hidden Message *****

584768970 发表于 2012-8-31 17:22:55

沙发一下 ..

L_o_V_e________ 发表于 2012-8-31 17:35:11

cathe 发表于 2012-8-31 17:46:53

赞一个。

琦琦的爱 发表于 2012-8-31 17:52:03

貌似比较牛逼

Sen1993 发表于 2012-8-31 17:55:40

值得学习~~~~~

wangweimin 发表于 2012-8-31 18:03:03

路过看一看

LUHAOHAOLU 发表于 2012-8-31 18:46:11

   参与/回复主题 关闭      
RE: 一个原创c语言+汇编的驱动程序 通过ssdt hook及inline hook和深层hook限制进程被访问 [修改]   

〆、此男戒情ゝ 发表于 2012-8-31 19:07:17

不错，         

isaced 发表于 2012-8-31 19:22:01

我来看看吧~~~~

蛋套小哥哥 发表于 2012-8-31 19:50:19

不错不错！真给力，收藏了

pediyzhi 发表于 2012-8-31 19:54:34

感谢楼主分享

huangchunyu85 发表于 2012-8-31 20:11:28

谢谢谢谢 HKLJLJ

方丈 发表于 2012-8-31 20:49:11

看看牛人写的hook

小牛.. 发表于 2012-8-31 22:06:35

看看看！！！！！！！！！！！！！

tsp150600 发表于 2012-8-31 23:47:19

路过赞一个

不会飞的纸飞 发表于 2012-9-1 09:03:48

看看   下下来

chyxxx 发表于 2012-9-1 09:18:39

好像很高深。。。

唯舆之缌 发表于 2012-9-1 09:37:40

我是鱼油   我到鱼c
:o本贴由隐藏贴回复机快速回复

qvbhpfqf 发表于 2012-9-1 12:29:35

看看，顶一下……

查看完整版本: 一个原创c语言+汇编的驱动程序 通过ssdt hook及inline hook和深层hook限制进程被访问