Love 梦想(原创) SSDT HOOK技术轻松让最新版冰刃、XueTr失效
刚开始学驱动,成功HOOK NtOpenProces 现在本想试试HOOK NtQuerySystemInformation,没想打它的结构N多N长,也让我很惊讶,这个API居然能获取或者设置超过50多种的信息。参考网上的一些代码,看的我晕头转向的..也没点解释,而且也没法编译...总算搞清楚 进程信息是以链表的形式存储数据的。虽然没学过链表,但也大概有所了解。在做实验过程中,编译出错N次,系统蓝屏了N次,总算完成也理解了。
在这个过程中发现一些有趣的事情,例如,网上大部分代码都是HOOK 这个API来实现进程隐藏,其实还可以恶搞进程信息。最简单的就是修改要保护进程的PID了。例如:Explorer.exe 的进程PID 是1203,那么我就可以修改成1234,这样任务管理器也就获取到假的 PID 。任何对进程操作的前提条件是能获取到它的PID,现在PID被修改,结束进程自然也无法成功了。原本想修改成其他的进程的PID,例如,任务管理器的PID是1860,它要结束我们要保护的进程1203,那么我们就把 1203修改成它的PID1860,这就变成任务管理器自己结束自己了。可惜,不知道为什么会失败。嘿嘿,虽然这个失败了,但是在处理链表数据的时候又有新发现,发现破坏链表结构,就会实现隐藏所有进程的进程信息,任务管理器看到的是一片空白,目前最新版的XueTr 看到的也是一篇空白,还有冰刃,一查看进程就立即报错。360任务管理器启动就立即报错。但是不知道什么原因居然能产生这种作用!据我所知,冰刃和XueTr貌似不是用常规的方法获取进程的。所以即使是HOOK NtQuerySystemInformation 移除该进程的所有信息也能被识别出来。那么它们应该不是调用NtQuerySystemInformation这个获取进程信息才对,现在我无意破坏NtQuerySystemInformation 的链表结构,居然能影响到它们,太奇怪了。
以下是截图。
后来经过自己改进,实现了隐藏指定进程,任务管理器可以显示其他的进程,冰刃和XueTr就无法获取进程。不过不稳定,任务管理器有时候会报错或者会显示出无名的进程但是PID的值却非常大。没法,不知道真正原因,所以这个问题也没法解决。
以下是成功的时候截的图:
嘿嘿,正因为开始我对链表不太熟悉,所以在一次实验中无意破坏了链表的结构,就发现这个现象。哈哈~~~,当然也不能说这发现能跟冰刃和XueTr对抗了,因为采用SSDD HOOK,所以它们很容易就能发现。至于360,倒也没去测试过,首先加载驱动这一步就得费很多心思了。
以下是SYS、exe完整源码:方便日后复习之用。
郁闷、每次发帖的时候总是受长度限制.......
完整源码**** Hidden Message *****
谢谢楼主提供分享。 膜拜大牛啊 0000000000000 学习下吧,多谢分享了 :o:o:o:o:o:o:o:o:o专业潜水队 感谢分享 谢谢啊 感谢 分享 哦 亲 楼主厉害 菜鸟学习了 强烈支持楼主ing…… 强烈支持楼主ing…… 学习一下,貌似没那么简单 这个下来看看 谢谢楼主,楼主太强大了啊。。 不错。。。。 {:1_1:} 好东西 收藏 谢谢楼主提供分享。 路漫漫其修远兮,学习下 谢谢楼主提供分享 好东西 看看
页:
[1]
2