Inline hook SSDT SHADOW 保護程序窗體 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星全功能安全软件 Inline hook SSDT SHADOW 保護程序窗體

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[转载] Inline hook SSDT SHADOW 保護程序窗體

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2010-12-10 10:01 \| 只看楼主短消息资料字号：小中大 1楼 Inline hook SSDT SHADOW 保護程序窗體瑞星的窗口保护太脆弱了----请增强窗口保护！！！ Inline hook SSDT SHADOW 保護程序窗體 HOOK 了一些SSDT SHADOW表裏的未導出函數來實現部分代xxx參考PEDIY裏 “完整的可編譯HOOK SSDTSHADOW” 實現函數編号采用硬編xxx 隻能在XP SP2下運行需要的朋友請自行修改. 下面是一些HOOK函數的代理函數代xxx //下面函數實現都很簡單較爲依賴NtUserQueryWindow 函數關聯窗口和進程ID NTSTATUS fake_NtUserFindWindowEx( IN HWND hwndParent, IN HWND hwndChild, IN PUNICODE_STRING pstrClassName OPTIONAL, IN PUNICODE_STRING pstrWindowName OPTIONAL, IN DWORD dwType) { ULONG hWnd; hWnd = Old_NtUserFindWindowEx(hwndParent, hwndChild, pstrClassName, pstrWindowName, dwType);//執行原函數 if (PsGetCurrentProcess()!= ProtectedProcess)//操作進程不是自身則 { ULONG ProcessID = Old_NtUserQueryWindow(hWnd, 0);//查詢返回窗口的進程ID if (ProcessID == (ULONG)PsGetProcessId(ProtectedProcess))//是保護進程則返回0 { return FALSE; } } return hWnd; } NTSTATUS fake_NtUserBuildHwndList( IN HDESK hdesk, IN HWND hwndNext, IN ULONG fEnumChildren, IN DWORD idThread, IN UINT cHwndMax, OUT HWND phwndFirst, OUT ULONG pcHwndNeeded) { NTSTATUS ntStatus; ULONG i=0; if (PsGetCurrentProcess()!= ProtectedProcess) { if (fEnumChildren==1)//是否是枚舉子窗口 { //如果是枚舉本程序子窗體返回失敗 if (Old_NtUserQueryWindow((ULONG)hwndNext, 0) == (ULONG)PsGetProcessId(ProtectedProcess)) { return STATUS_UNSUCCESSFUL; } } //枚舉頂層窗口 ntStatus = Old_NtUserBuildHwndList(hdesk, hwndNext, fEnumChildren, idThread, cHwndMax, phwndFirst, pcHwndNeeded); if (NT_SUCCESS(ntStatus)) { while (i<pcHwndNeeded)//循環查詢是否爲本程序窗體從數組中擦掉 { if (Old_NtUserQueryWindow((ULONG)phwndFirst,0) == (ULONG)PsGetProcessId(ProtectedProcess)) { //直接置0就好了前面代xxx有問題 phwndFirst=0; } i++; } } return ntStatus; } return Old_NtUserBuildHwndList(hdesk, hwndNext, fEnumChildren, idThread, cHwndMax, phwndFirst, pcHwndNeeded); } UINT_PTR __stdcall fake_NtUserQueryWindow(IN ULONG WindowHandle,IN ULONG TypeInformation) { if( PsGetCurrentProcess() != ProtectedProcess ) { if (Old_NtUserQueryWindow(WindowHandle, TypeInformation) == (ULONG)PsGetProcessId(ProtectedProcess)) {//試圖關聯保護的PID 返回0 return FALSE; } } return Old_NtUserQueryWindow(WindowHandle, TypeInformation); } ULONG fake_NtUserWindowFromPoint(LONG x, LONG y) { ULONG hWnd; hWnd=Old_NtUserWindowFromPoint(x,y); if (PsGetCurrentProcess() != ProtectedProcess) { if (Old_NtUserQueryWindow(hWnd, 0) == (ULONG)PsGetProcessId(ProtectedProcess)) { return FALSE; } } return hWnd; } //思路很簡單執行原函數後直接判斷輸出句柄如果是我們的直接close掉然後返回失敗 //還好NtDuplicateObject 系統調用不是很頻繁如果是調用頻繁的系統函數不建議這樣亂來.^_^ NTSTATUS fake_NtDuplicateObject( IN HANDLE SourceProcessHandle, IN HANDLE SourceHandle, IN HANDLE TargetProcessHandle, OUT PHANDLE TargetHandle OPTIONAL, IN ACCESS_MASK DesiredAccess, IN ULONG Attributes, IN ULONG Options) { NTSTATUS ntStatus,Tmp; //PVOID pObj=NULL; PROCESS_BASIC_INFORMATION PBI; ntStatus=Old_NtDuplicateObject(SourceProcessHandle,SourceHandle,TargetProcessHandle, TargetHandle,DesiredAccess,Attributes,Options); if (NT_SUCCESS(ntStatus) ) { //在當前進程上下文直接查詢輸出句柄所屬ID 是我們的直接CLOSE掉 //這裏用内核提供的查詢句柄函數似乎更精确可以直接獲取對象然後對比是否是我們的進線程對象. Tmp=ZwQueryInformationProcess(TargetHandle,ProcessBasicInformation,&PBI,sizeof(PBI),NULL); //Tmp=ObReferenceObjectByHandle(TargetHandle, 0, NULL, KernelMode, &pObj, NULL ); if (NT_SUCCESS(Tmp)) { / //需要自己替換可防止COPY 進線程句柄 if (pObj==(PVOID)ProtectedProcess\|pObj==(PVOID)ProtectedThread) { ZwClose(TargetHandle); TargetHandle=0; ntStatus= STATUS_UNSUCCESSFUL; }/ if (PBI.UniqueProcessId ==(ULONG)PsGetProcessId(ProtectedProcess)) { ZwClose(TargetHandle); TargetHandle=0; ntStatus= STATUS_UNSUCCESSFUL; } } } return ntStatus; } NTSTATUS fake_ObOpenObjectByPointer( IN PVOID Object, IN ULONG HandleAttributes, IN PACCESS_STATE PassedAccessState OPTIONAL, IN ACCESS_MASK DesiredAccess OPTIONAL, IN POBJECT_TYPE ObjectType OPTIONAL, IN KPROCESSOR_MODE AccessMode, OUT PHANDLE Handle) { if ((Object != NULL) && (MmIsAddressValid(Object))) { if ((ProtectedThread !=PsGetCurrentThread())) //當前操作者不是本程序自身的線程 { if (Object == IoThreadToProcess(ProtectedThread)\|\| Object==ProtectedThread) {//目标是否爲我們保護的對象 return STATUS_ACCESS_DENIED;// 是則拒絕訪問 } } } return Old_ObOpenObjectByPointer (Object, HandleAttributes,PassedAccessState, DesiredAccess,ObjectType,AccessMode,Handle); } 用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0*
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	分享到：

瑞星工程师19 在线技术支持工程师帖子:3977 注册: 2008-09-08 来自:	发表于： 2010-12-10 10:19 \| 短消息资料字号：小中大 2楼回复：Inline hook SSDT SHADOW 保護程序窗體 hooksys.sys [25.0.0.34]版本解决感谢支持。瑞星工程师19 最后编辑于 2011-03-08 09:37:51
瑞星工程师19 在线技术支持工程师帖子:3977 注册: 2008-09-08 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT