搜索资源列表
driver
- 用DDDK编写驱动,修改SSDT表HOOK NTDebugActiveProcess函数 钩子函数中可以判断PID号,决定是否放行,放行则在钩子函数中调用原来的NTDebugActiveProcess函数.否则直接返回False.HOOK成功后所有调用DebugActiveProcess的程序将会失效.当然可以按照你的需要HOOK更多的系统服务函数.同一服务函数的服务号在每个操作系统版本中是不同的.下面附件中编译完成的驱动请在WinXP SP2的环境下测试.否则可能会导致直接重启
RESSDT
- SSDT,这个东西大家应该知道吧,我就不介绍了,好东西自然值得我们的关注.
RESSDT
- 一个恢复r0态SSDT挂钩的小程序,包括exe文件和驱动文件的源码
ssdtdump
- 获取SSDT列表的程序源码,部分代码用DDK编译开发
ssdt2
- 查看系统SSDT,系统中被HOOK的函数以红色显示,可以恢复之
firewall
- 提供进程监视[包括启动参数] 进程检测[包括启动参数] 网络连接检测 SSDT检测 BHO检测 IE插件检测 自启动项检测 -------程序部分[使用彩字显示] 包含TD2,PTTD,2个DLL使用方法 TD3驱动使用方法
DELPHI_SSDT
- DELPHI恢复SSDT源码 有搞这方面的人可以学习一下
RESSDT
- VC恢复SSDT源代码,让杀毒主动失效的新代码。
dog
- 机器狗新变种使用了一些流行的技术,包含了修复SSDT Hook、修复FSD Hook、并对一些系统还原软件进行有针对的Hook,使能达到突破还原软件保护的目的。做了那么多,最终目的还是下载大量的木马到用户的系统上。
SSDTHook
- 对付ring0 inline hook的基本思路是这样的,自己写一个替换的内核函数,以NtOpenProcess为例,就是 MyNtOpenProcess。然后修改SSDT表,让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是,实现NtOpenProcess前10字节指令,然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess 函数头写的JMP都失效了,在ring3直接调用OpenProcess再也毫无影响。
getRing0
- Windows NT/2000/XP/Server 2003 获取Ring0的便捷工具 程序创建了几个段: IDT,GDT,SSDT,Linear 为创建Ring3,Ring0之间的互交便捷
gh0st3.6_src
- 一个功能强大的主流远程控制代码,很多系统核心应用,包括SSDT等。编译要安装微软SDK。 VC6.0
HookShadowSSDT
- 一个演示如何hook shadow ssdt表的例子。
KillIceSword(SSDT_and_Inline_Hook_in_Ring0)
- 通过SSDT绕过IceSword的inline Hook来关闭IceSword
Hide_Process_Hook_MDL
- SSDT Hook ZwQuerySystemInformation 隐藏进程
FileIOMonitor
- SSDT拦截文件读写,提供接口供ring3通讯
hookssdt
- 再谈内核及进程保护,利用hook掉系统ssdt保护进程的例子。
ssdthookinlinehook
- 这是一个SSDT HOOK源代码,希望对大家有点作用
gh0st
- 非常强悍的一款远程控制软件,功能强大,具有回复SSDT功能
pcsharevip
- 高级会员办的远程木马,能实隐藏能力相当强,上线稳定,屏幕传输快,修改SSDt公能