瘋言瘋語

摘要： 文章目录： 1. 引子： 2. 获取当前系统下所有进程： 3. 服务管理（安装，启动，停止，卸载）： 4. 应用程序和内核程序通信： 5. 小结： 1. 引子： 关于这个 SSDT Hook 实现进程隐藏和进程保护呢，这是最后一篇博文了， 在文章的结尾处呢你可以下载到整个项目的实例程序以及代码， 程序可以在 XP、Server、Win7 上运行的，当然我是说的 32 位操作系... 阅读全文

摘要： 本讲主要内容：1．SSDT表。2．KiSwapThread函数3．SwapContext函数----------------------------------------------1.SSDT表 1>int 0x2E进入0环后，在_KiSystemService函数中trap_frame框架形成之后，会把3环的参数拷贝到0环的栈，然后调用函数，用下列语句实现的： rep movsd callebx 我们往上看代码拷贝时：esi来源于3环的edx，edi来源于SSDT表，ebx是函数的地址也来源于SSDT表。 2>怎么找到SSDT表 在IDA的函数列表中找到KiInitSyste 阅读全文

摘要： 文章目录：1. 引子 – Demo 实现效果：2. 进程隐藏与进程保护概念：3. SSDT Hook 框架搭建：4. Ring0 实现进程隐藏：5. Ring0 实现进程保护：6. 隐藏进程列表和保护进程列表的维护：7. 小结：1. 引子 – Demo 实现效果：上一篇《进程隐藏与进程保护(SSDT Hook 实现)(一)》呢把 SSDT 说得差不多了，博文地址：http://www.cnblogs.com/BoyXiao/archive/2011/09/03/2164574.html不过呢，那也只是些理论的东西，看不到什么实物，估计说来说去把人说晕了后，也没什么感觉，而这一篇博文的话，给出点 阅读全文

摘要： 文章目录：1. 引子 – Hook 技术：2. SSDT 简介：3. 应用层调用 Win32 API 的完整执行流程：4. 详解 SSDT：5. SSDT Hook 原理：6. 小结：1. 引子 – Hook 技术：前面一篇博文呢介绍了代码的注入技术(远程线程实现)，博文地址如下：http://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html虽然代码注入是很老的技术了，但是这种技术也还是比较常见，当然也比较好用的，比如在 Spy++ 中就使用了远程线程注入技术，同时，如果有兴趣的阅读过 Spy++ 的源码的朋友，当然也可以在其源码中 阅读全文