killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
40楼#
发布于:2007-09-13 12:23
引用第35楼wowocock于2007-09-12 23:07发表的  :
以后考虑在VMM中保护内存,对所有物理地址访问进行过滤控制。


VMM.....邪恶~
没有战争就没有进步 X3工作组 为您提供最好的军火
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
41楼#
发布于:2007-09-13 16:11
PspTerminateThreadByPointer在xp下hook终于搞定了,主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html。这个函数只有两个参数。剩下的事情就比较简单了。

学艺不精,killvxk有空给介绍一下:
hook kexxx 防dll全局hook插入
hook kisystemservice 来过滤ntgdi/ntuser系列函数比hook shadowTable的函数方便~
是怎么回事,没弄明白。
还有360safebox中的INLINE  hook KiFastCallEntry隐藏ssdt 是怎么回事,没看明白?

从网上得到这样一个信息:
KiSystemService()通过检查EAX中索引值的第12和13位来确认是不是应该由Win32K.sys处理API调用。如果这两个位都是0,则是由ntoskrnl.exe处理的Native API调用,因此KiSystemService()使用第一个SDT。如果第12位为1并且第13位为0,KiSystemService()使用第二个SDT,这个SDT并没有被当前系统使用。这意味着Native API调用的索引值的潜在范围是:0x0000 --- 0x0FFFF,Win32K.sys调用使用的索引范围是:0x1000 --- 0x1FFF。因此,0x2000 --- 0x2FFF和0x3000 --- 0x3FFF保留给剩下的两个SDT。在Windows 2000中,Native API服务表包含248个项,Win32K.sys表包含639个项。如果这样的hook KiSystemService就像一个中断处理流程替换另外现有的中断处理流程,所有的参数都是通过寄存器来传递。往下追下去,也许会找到写苗头。
hook kexxx 防dll全局hook插入呢? kexxx 怎么拼写?
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
42楼#
发布于:2007-09-13 16:49
KeUserModeCallBack,装了360safebox,拿gmer之流扫扫,不就有了,,楼上勿要太懒。。。。
KiSYtexxx的处理看2K代码就全知道了
之前测试的结果,PspTerminateThreadByPointer的HOOK保护进程会对进程本身有不少不稳定的影响~
驱动开发者 呵呵
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
43楼#
发布于:2007-09-13 16:54
主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html 似乎和wrk中的代码一样...

我也期待:

学艺不精,killvxk有空给介绍一下:
hook kexxx 防dll全局hook插入
hook kisystemservice 来过滤ntgdi/ntuser系列函数比hook shadowTable的函数方便~
是怎么回事,没弄明白。
还有360safebox中的INLINE  hook KiFastCallEntry隐藏ssdt 是怎么回事,没看明白?


可往往大牛们总是一句带过.
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
44楼#
发布于:2007-09-13 17:01
引用第42楼WQXNETQIQI于2007-09-13 16:49发表的  :
KeUserModeCallBack,装了360safebox,拿gmer之流扫扫,不就有了,,楼上勿要太懒。。。。
KiSYtexxx的处理看2K代码就全知道了
之前测试的结果,PspTerminateThreadByPointer的HOOK保护进程会对进程本身有不少不稳定的影响~

谢谢,
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
45楼#
发布于:2007-09-13 19:43
引用第43楼wangjianfeng于2007-09-13 16:54发表的  :
主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html 似乎和wrk中的代码一样...

我也期待:

学艺不精,killvxk有空给介绍一下:
.......


其实可以把调用copy到一个空的ssdt位置,填入参数描述等,然后在newkixxxx中替换eax的内容,然后继续xxx
可以想象当kav等xxx们hook了ssdt结果发现调用不走他们做了hook的ssdt~~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
46楼#
发布于:2007-09-13 19:48
0x2000 --- 0x2FFF
iis6有些玩意在上面要小心使用copy大法~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
47楼#
发布于:2007-09-13 19:53
也可以学习老版本的带有邪恶驱动的某壳,把自己要用的调用原始ssdt描述copy到空位(空位动态定位的~~)然后inline hook KiXXX过滤并修改eax——最邪恶的是那家伙在线程上做了手脚,他加壳的线程的win32Table指向不是标准的shadowTable(嘿嘿)

多说无意~~
改bug去了
没有战争就没有进步 X3工作组 为您提供最好的军火
xinruzhishui
驱动牛犊
驱动牛犊
  • 注册日期2006-04-06
  • 最后登录2010-08-25
  • 粉丝0
  • 关注0
  • 积分450分
  • 威望47点
  • 贡献值0点
  • 好评度46点
  • 原创分0分
  • 专家分0分
48楼#
发布于:2007-09-13 20:09

0x2000 --- 0x2FFF
iis6有些玩意在上面要小心使用copy大法~

那就用0x3000-0x3FFF嘛,目前好像还没用占用
我一直在用,“价格实惠,量又足”
对付现在的通过ssdt hook进行检测的足够了
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
49楼#
发布于:2007-09-13 21:45
0x3000-0x3FFF估计也有用处~
没有战争就没有进步 X3工作组 为您提供最好的军火
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
50楼#
发布于:2007-09-14 08:25
guaiguaiguan 是不是作超级巡警或那个狙剑的?
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
51楼#
发布于:2007-09-14 08:30
引用第50楼wangjianfeng于2007-09-14 08:25发表的  :
guaiguaiguan 是不是作超级巡警或那个狙剑的?



故事里的事说是就是不是也是 , 故事里的事说不是就不是是也不是
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
52楼#
发布于:2007-09-14 08:46
引用第45楼killvxk于2007-09-13 19:43发表的  :


其实可以把调用copy到一个空的ssdt位置,填入参数描述等,然后在newkixxxx中替换eax的内容,然后继续xxx
可以想象当kav等xxx们hook了ssdt结果发现调用不走他们做了hook的ssdt~~



newkiSystem proc
...
cmp eax,001
jnz igore
mov eax , 0x5001
igore:
jmp oldkiSystem

endp

    sdt工具,在真正的hook之前,首当其冲都会对ssdt进行重置,包括指针函数入口的5个字节指令,全部使用ntk*.exe最初值进行恢复,以达到独占、排他的目的。如果这种挂接在后,就很有可能把未用的ssdt入口项全部置零,如果操作系统没有对这些无效地址进行检查,系统就等着崩溃吧。责任追究起来,至少是各打五十大板。
    另外一般hook为了不影响原有的功能,都会间接调用call oldssdtserviceentry。这种方法将使对旧函数的地址调用变得更加烦琐。
    明白了,这种方法的确可以达到隐藏的目的。很巧妙,楼上各位,只能高山仰止了!

 
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
53楼#
发布于:2007-09-14 13:04
唉~
天地有正气~~~

不知道又有啥玩意要出来了~
没有战争就没有进步 X3工作组 为您提供最好的军火
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
54楼#
发布于:2007-09-18 16:51
楼上的方法也挺好使,实现方法(略)
qiweixue
驱动小牛
驱动小牛
  • 注册日期2004-07-21
  • 最后登录2011-12-19
  • 粉丝0
  • 关注0
  • 积分1006分
  • 威望274点
  • 贡献值0点
  • 好评度268点
  • 原创分1分
  • 专家分0分
55楼#
发布于:2007-09-26 21:58
天下乱了。。

doskey跑到360那里去了,,

还是忙自个去喽。。。
qiweixue
驱动小牛
驱动小牛
  • 注册日期2004-07-21
  • 最后登录2011-12-19
  • 粉丝0
  • 关注0
  • 积分1006分
  • 威望274点
  • 贡献值0点
  • 好评度268点
  • 原创分1分
  • 专家分0分
56楼#
发布于:2007-09-26 22:06
还是觉得开源linux在内核驱动中实用的多多,,,
window 下xx,av,,流氓,,真是疯狂了,,anti 也更这狂,,
路过
violin
驱动牛犊
驱动牛犊
  • 注册日期2003-10-02
  • 最后登录2009-08-22
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望83点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
57楼#
发布于:2007-11-02 08:59
引用第51楼guaiguaiguan于2007-09-14 08:30发表的  :



故事里的事说是就是不是也是 , 故事里的事说不是就不是是也不是



到底是也不是~~~~~
angel_dolphin_i
驱动中牛
驱动中牛
  • 注册日期2007-08-16
  • 最后登录2011-09-06
  • 粉丝1
  • 关注0
  • 积分289分
  • 威望444点
  • 贡献值1点
  • 好评度552点
  • 原创分0分
  • 专家分0分
58楼#
发布于:2007-11-02 09:11
引用第11楼yangtengfei于2007-09-08 11:30发表的  :


  在说瑞星差之前,为什么自己的 360 做好....
360 保险箱也只能对付一般的木马.  什么独辟安全运行空间,百毒不侵,简直扯淡.
只不过在内核中INLINE 两个函数而已,把自己宣传的跟虚拟机一样.
.......



高手耶,俺一点不懂,一点概念都不懂,那位高手给指条大道,初学者该看什么书和资料
majiajue
驱动牛犊
驱动牛犊
  • 注册日期2007-10-25
  • 最后登录2008-06-28
  • 粉丝0
  • 关注0
  • 积分200分
  • 威望22点
  • 贡献值0点
  • 好评度21点
  • 原创分0分
  • 专家分0分
59楼#
发布于:2007-11-02 11:18
说的跟个事一样,还不是谁能加载的问题。
上一页 下一页
游客

返回顶部