易语言恒云雨驱动源码,恒云雨驱动,发送指令,刷新进程_,取内存变量地址_,创建快照_,第一个_,下一个_,关闭对象_,OpenProcess,TerminateProcess,取当前进程标识符_,ShellExecuteA,DriverEntry,CreateDevice,DriverUnload,IoCompleteRequest,取子程序指针,转换为_

通过ssdt hook去修改NtDeviceIoControlFile函数的地址，当应用程序查询硬盘序列号时进行修改

GitHub为了看代码方便，取消了Download按钮，如果有怎么也搞不定的同学可以过来领一份，很全，涵盖了OpenCore官方所有的SSDT。 编译的话，OpenCore官方提供了一个编译器的链接，叫做iasl，感兴趣的同学可以去官网看看，当然如果自己会编译就无所谓了。

驱动级的隐藏进程代码，在驱动层通过替换ssdt地址表中的函数来隐藏进程-Driver-class

iasl-win-20220331-含命令用法.zip,在window中获得DSDT、SSDT,黑苹果所需的资源文件。

在Windows10 高版本中 ，因为页表隔离补丁（?）,__readmsr(0xC0000082) 返回KiSystemCall64Shadow，这玩意无法直接搜索到 KeServiceDescriptorTable，以前获取SystemServiceDescriptorTable的方法失效。

解决黑苹果重启亮度不保存

SQL Server Data Tools(SSDT) 中的SSIS简易 教程.pdf

SSDTSetup.exe

本实例由VS2008开发，在提供了一套驱动开发框架的同时，又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数：ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明： 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址，以及通过ZwQuerySystemInformation()函数获取win32k.sys基址，然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址，并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数：(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput，具体使用时可以举一反三，网上完整的源代码实例并不太多，希望可以帮到真正有需要的朋友。 系统环境： 在WinXP SP3系统 + 瑞星杀毒软件 打印输出： [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为：0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为：0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为：0xB83ECFC4，“起源地址”为：0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为：0xB83ECFA3，“起源地址”为：0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为：0xBF8C31E7，“起源地址”为：0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]