Linux作为一种自由开源操作系统,其安全性备受关注。其中,Linux内核的安全性管理是实现整个系统安全的关键。Linux内核中的SysCall和SSDT则是用于实现系统调用和系统服务的关键机制。
在Linux中,SSDT(System Service Descriptor Table)是一种用于处理系统服务请求的表。通过SSDT,系统可以根据用户进程的请求,调用相应的系统服务,从而完成特定的功
原创
2024-04-29 10:50:30
99阅读
请转到以下链接使用 ? ? :SSDT Hook 之内核函数ZwTerminateProcess实现监控结束进程 ? :SSD...
转载
2022-12-20 19:25:50
81阅读
关于SSDT Hook的理论知识就不多说了。简单的说一下Delphi开发KMD的一些需要注意的地方...这里使用DDDK---有点自己修改过的痕迹不过区别不大...自己可以看代码1.KeServiceDescriptorTable是一个很特殊的函数...如果直接使用implib来进行创建库的话你会发现这个函数是被忽略的...因为偏移为0所以这个函数基本上只能起到标志作用没有任何实用价值....一些代码中出现了代码:function SystemService(AFunc:Pointer):PLONG;beginResult:=PLONG(Cardinal(KeServiceDescriptor
转载
2011-09-16 16:08:00
180阅读
2评论
#include<ntifs.h>#pragmapack(1)//SSDTHook中,我们有2个关键问题://1怎么找到SSDT,这个表是导出的,所以直接声明就可以//2SSDT是只读的,怎么改//2.1通过修改CR0去掉内核层的页保护//2.2可以通过MDL重映射的方式,去修改。typedefstruct_ServiceDesriptorEntry{ULONG*ServiceTabl
原创
2018-06-23 16:55:47
3828阅读
原理可以看:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114107#include<ntddk.h>#include<ntimage.h>//SSDT表结构#pragmapack(1)//#pragmapack(n)作用:C编译器将按照n个字节对齐typedefstructServiceDescript
原创
2018-10-18 20:52:29
932阅读
其实 SSDT Hook 的原理是很简单的,我们可以知道在 SSDT 这个数组中呢,保存了系
原创
2022-10-11 21:16:16
209阅读
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存储管理器创建的卷设备对
转载
精选
2013-09-03 16:08:00
1335阅读
来自网上。typedef struct _SERVICE_DESCRIPTOR_TABLE{ PVOID ServiceTableBase; PULONG S
转载
2012-11-29 16:59:00
201阅读
2评论
可以看到识别inline hook的关键。 好了,我自己机器上实验下:先看下手册里介绍用法 https://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf实际使用发现确实加上-R 和 -Q会快很
原创
2023-06-01 10:02:24
457阅读
前言进程保护是众多 AV 或者病毒都要所具备的基础功能,本文就 0 环下通过 SSDT 来对进程进行保护进行探究,SSDT 也不是什么新技术,但作为学习,老的技术我们同样需要掌握。 什么是 SSDTSSDT 的全称是 System Services Descriptor Table,系统服务描述符表。首先要明确的是他是一张表,通过 windbg 查看这张表。dd KeSer
转载
2023-06-01 10:19:47
62阅读
x86 SSDT Hook 32位下进行SSDT Hook比较简单,通过修改SSDT表中需要hook的系统服务为自己的函数,在自己的函数中进行过滤判断达到hook的目的。 获取KeServiceDescriptorTable基地址 要想进行ssdt hook,首先需要获得SSDT表的基地址。 因为K ...
转载
2021-04-26 00:02:00
1322阅读
2评论
进程隐藏与进程保护(SSDT Hook 实现)(一) 文章目录:
原创
2023-07-28 00:00:12
713阅读
文章目录:1. 引子 – Hook 技术:2. SSDT 简介:3. 应用层调用 Win32 API 的完整执行流程:4. 详解 SSDT:5. SSDT Hook 原理:6. 小结: 1. 引子 – Hook 技术: &n
原创
精选
2023-07-28 22:14:16
635阅读
1 Ssdt表的基本结构KeServiceDescriptorTable 首地址:8055D7000:
转载
2012-12-06 00:15:00
156阅读
2评论
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminatePro...
转载
2020-12-03 20:47:00
360阅读
2评论
HOOK SSDT 在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说
原创
2022-07-18 16:28:42
218阅读
多款个人防火墙产品存在本地SSDT Hook漏洞
该文章转自 联信软件
【绿盟科技授权,赛迪发布,谢绝任何网站转载,违者,赛迪网将保留追究其法律责任的权利!】
发布日期:2007-09-18
更新日期:2007-09-18
受影响系统:
Zone Labs ZoneAlarm 7.0.362.000
ISS BlackI
转载
精选
2007-11-19 11:07:09
365阅读
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptor
原创
2021-07-20 15:58:57
1506阅读
