zoukankan      html  css  js  c++  java
  • Rootkit之SSDT hook(通过CR0)

    CR0当中有一个写保护位,是保护内存不可写属性的,为了能够写入内核,只能把它的保护给咔嚓掉了,不过……如果做完了手脚但不还原写保护属性的话,极有可能会BOSD.
    /=====================================================================================//
       5:  //Name: VOID DisableWriteProtect()                                                     //
       6:  //                                                                                     //
       7:  //Descripion: 用来去掉内存的可写属性,从而实现内存只读                                 //
       8:  //                                                                                     //
       9:  //=====================================================================================//
      10:  VOID DisableWriteProtect(ULONG oldAttr)
      11:  {
      12:      _asm
      13:      {
      14:          mov eax, oldAttr
      15:          mov cr0, eax
      16:          sti;
      17:      }
      18:  }
      19:   
      20:   
      21:  //=====================================================================================//
      22:  //Name: VOID EnableWriteProtect()                                                      //
      23:  //                                                                                     //
      24:  //Descripion: 用来去掉内存的只读保护,从而实现可以写内存                               //
      25:  //                                                                                     //
      26:  //=====================================================================================//
      27:  VOID EnableWriteProtect(PULONG pOldAttr)
      28:  {
      29:      ULONG uAttr; 
      30:   
      31:      _asm 
      32:      { 
      33:          cli;
      34:          mov  eax, cr0; 
      35:          mov  uAttr, eax; 
      36:          and  eax, 0FFFEFFFFh; // CR0 16 BIT = 0 
      37:          mov  cr0, eax; 
      38:      }; 
      39:   
      40:      //保存原有的 CRO 属性 
      41:      *pOldAttr = uAttr; 
      42:  }
      43:   
      44:   
  • 相关阅读:
    软件工程之旅开始啦
    c# async,await, 委托函数
    mysql 访问不是本地数据库,给用户刷新了权限没有作用
    c# WndProc事件 消息类型
    sql not in 优化问题
    c# dataGridView 表头格式设置不管用
    sql 更新多条记录
    mysql 插多行数据
    win7 64bit+vs2010 操作注册表
    bat脚本命令
  • 原文地址:https://www.cnblogs.com/vcerror/p/4289231.html
Copyright © 2011-2022 走看看