内核编程练习作品->UnSSDTHOOK(完整源码)

Love 梦想 · 发表于 2012-11-16 14:35:03

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

本帖最后由 Love 梦想于 2012-11-16 14:48 编辑

所以在没有稳定的工作前，就先暂时放下单片机，复习一下编程知识。这个编程作品，也是在复习的时候，蒋哥想在需要的时候结束几个隐藏的进程。隐藏进程的实现方法通常都是通过DLL远程注入的方式，也有RING3 下HOOK相关API。而蒋哥的增值程序采用的是 SSDT HOOK技术（具体请看我的另外一篇《学习笔记 -> HOOK SSDT表的理解(1) 》http://user.qzone.qq.com/1007566569/blog/1338534353）。那个增值程序仅仅只是HOOK了 NtQuerySystemInformation，修改里它的返回值，所以普通的任务管理器自然就看不到该进程。就帮他整了一个简单的程序。后来想想，他在网吧工作，所以可能会有别的需要，所以索性就改进成通用版的，可以恢复指定被HOOK 的NtAPI。方便他用批处理器调用，也算是自己的第一个内核驱动变成作品吧。

恢复比HOOK要简单多。只需要把被修改的地址改回原来的即可。留下驱动代码供日后自己复习用：

有详细代码，安装好DDK之后可以完全编译成功~~ 有兴趣的鱼友可以试试~~~

游客，如果您要查看本帖隐藏内容请回复

==========================================================================================
程序下载地址：http://pan.baidu.com/share/link?shareid=117493&uk=2400077093

调用方法：

UnSSDTHOOK [ID]-[NtAPI]+

ID:SSDT表中函数服务号

NtAPI:函数名字

通过XueTr可以知道有那些API被HOOK,ID就是
里面的序号。NtAPI就是函数的名字。

例如：UnSSDTHOOK 122-NtOpenProcess+

注意，在执行前需要确定序号与函数名是相对应的。

可以通过批处理(.bat),循环调用,也可以自己写程
序调用。

UnSSDTHOOK 执行后会加载驱动,所以驱动名字不得修改。
恢复指定的函数地址后,会自动卸载驱动。

Love 梦想于 2012.11.16

Love 梦想 · 发表于 2012-11-16 14:44:14

本帖最后由 Love 梦想于 2012-11-16 14:48 编辑

自己坐沙发嘎嘎~~

u654f · 发表于 2012-11-16 15:21:00

safdasdf sad f

Love 梦想 · 发表于 2012-11-17 14:45:18

u654f 发表于 2012-11-16 15:21

登录/注册后可看大图

safdasdf sad f

...........

By、小雨(zy) · 发表于 2012-12-8 15:55:04

看看。。。。。

符川3.0 · 发表于 2012-12-8 19:03:52

我来学习的

BigChang · 发表于 2012-12-8 19:21:24

学习内核编程。。。。

346179112 · 发表于 2012-12-11 00:27:05

终极目标就是这个

1575116284 · 发表于 2012-12-16 13:08:08

看看。。。。。

贱人一个 · 发表于 2012-12-30 16:26:21

看看看看看

lcylcyll · 发表于 2013-3-22 13:00:32

正要来看看是怎么样来用的啊！！

cmqi159 · 发表于 2013-6-5 09:38:49

:victory:支持哦。

咖啡会上瘾 · 发表于 2013-6-5 10:57:44

过来看看啊

kevinorg · 发表于 2013-6-7 18:32:09

哈哈，你好

会飞de鱼 · 发表于 2013-8-19 11:36:25

看一下哦。。。。

reko3 · 发表于 2013-8-19 12:27:08

dffffffffffffffffffffgdf

YUANxin · 发表于 2021-1-21 22:25:55

小生有礼了

账号		自动登录	找回密码
密码			立即注册

[技术交流] 内核编程练习作品->UnSSDTHOOK(完整源码)

马上注册，结交更多好友，享用更多功能^_^

自己坐沙发 嘎嘎~~

自己坐沙发嘎嘎~~