GitHub为了看代码方便,取消了Download按钮,如果有怎么也搞不定的同学可以过来领一份,很全,涵盖了OpenCore官方所有的SSDT。
编译的话,OpenCore官方提供了一个编译器的链接,叫做iasl,感兴趣的同学可以去官网看看,当然如果自己会编译就无所谓了。
2022-08-07 22:00:57
37KB
1
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程-Driver-class
2022-06-27 09:05:48
132KB
iasl-win-20220331-含命令用法.zip,在window中获得DSDT、SSDT,黑苹果所需的资源文件。
2022-05-24 19:01:40
1.34MB
1
在Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
2022-04-04 12:08:26
71KB
1
SQL Server Data Tools(SSDT) 中的SSIS简易 教程.pdf
2021-08-31 18:10:44
752KB
1
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。
主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index);
原理说明:
根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。
这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。
系统环境:
在WinXP SP3系统 + 瑞星杀毒软件
打印输出:
[ LemonInfo : Loading Shadow SSDT Original Address Driver... ]
[ LemonInfo : 创建“设备”值为:0 ]
[ LemonInfo : 创建“设备”成功... ]
[ LemonInfo : 创建“符号链接”状态值为:0 ]
[ LemonInfo : 创建“符号链接”成功... ]
[ LemonInfo : 驱动加载成功... ]
[ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ]
[ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ]
[ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ]
[ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ]
[ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ]
[ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ]
[ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ]
[ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ]
[ LemonInfo : 删除“符号链接”成功... ]
[ LemonInfo : 删除“设备”成功... ]
[ LemonInfo : 驱动卸载成功... ]
2021-08-22 14:43:30
18KB
1
typedef NTSTATUS (*ZWOPENPROCESS)(
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId
);
NTSYSAPI
NTSTATUS
NTAPI ZwOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId
);
ZWOPENPROCESS OldZwOpenProcess;
NTSTATUS NewZwOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId
)
{
NTSTATUS ntStatus;
ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) (
ProcessHandle,
DesiredAccess,
ObjectAttributes,
ClientId );
if(ClientId->UniqueProcess == (HANDLE)ulPID)
*ProcessHandle = NULL;
return ntStatus;
}
2021-08-19 13:35:40
40KB
1