引用第35楼wowocock于2007-09-12 23:07发表的  :
以后考虑在ＶＭＭ中保护内存，对所有物理地址访问进行过滤控制。

VMM.....邪恶～

PspTerminateThreadByPointer在xp下hook终于搞定了，主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html。这个函数只有两个参数。剩下的事情就比较简单了。

学艺不精，killvxk有空给介绍一下：
hook kexxx 防dll全局hook插入
hook kisystemservice 来过滤ntgdi/ntuser系列函数比hook shadowTable的函数方便～
是怎么回事，没弄明白。
还有360safebox中的INLINE  hook KiFastCallEntry隐藏ssdt 是怎么回事，没看明白？

从网上得到这样一个信息：
KiSystemService()通过检查EAX中索引值的第12和13位来确认是不是应该由Win32K.sys处理API调用。如果这两个位都是0，则是由ntoskrnl.exe处理的Native API调用，因此KiSystemService()使用第一个SDT。如果第12位为1并且第13位为0，KiSystemService()使用第二个SDT，这个SDT并没有被当前系统使用。这意味着Native API调用的索引值的潜在范围是：0x0000 --- 0x0FFFF，Win32K.sys调用使用的索引范围是：0x1000 --- 0x1FFF。因此，0x2000 --- 0x2FFF和0x3000 --- 0x3FFF保留给剩下的两个SDT。在Windows 2000中，Native API服务表包含248个项，Win32K.sys表包含639个项。如果这样的hook KiSystemService就像一个中断处理流程替换另外现有的中断处理流程，所有的参数都是通过寄存器来传递。往下追下去，也许会找到写苗头。
hook kexxx 防dll全局hook插入呢？ kexxx 怎么拼写？

KeUserModeCallBack,装了360safebox，拿gmer之流扫扫，不就有了，，楼上勿要太懒。。。。
KiSYtexxx的处理看2K代码就全知道了
之前测试的结果，PspTerminateThreadByPointer的HOOK保护进程会对进程本身有不少不稳定的影响~

主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html 似乎和wrk中的代码一样...

我也期待:

学艺不精，killvxk有空给介绍一下：
hook kexxx 防dll全局hook插入
hook kisystemservice 来过滤ntgdi/ntuser系列函数比hook shadowTable的函数方便～
是怎么回事，没弄明白。
还有360safebox中的INLINE  hook KiFastCallEntry隐藏ssdt 是怎么回事，没看明白？


可往往大牛们总是一句带过.

引用第42楼WQXNETQIQI于2007-09-13 16:49发表的  :
KeUserModeCallBack,装了360safebox，拿gmer之流扫扫，不就有了，，楼上勿要太懒。。。。
KiSYtexxx的处理看2K代码就全知道了
之前测试的结果，PspTerminateThreadByPointer的HOOK保护进程会对进程本身有不少不稳定的影响~

谢谢，

引用第43楼wangjianfeng于2007-09-13 16:54发表的  :
主要参考http://hi.baidu.com/kcrazy/blog/item/ddf5162384a2f64f935807fd.html 似乎和wrk中的代码一样...

我也期待:

学艺不精，killvxk有空给介绍一下：
.......

其实可以把调用copy到一个空的ssdt位置，填入参数描述等，然后在newkixxxx中替换eax的内容，然后继续xxx
可以想象当kav等xxx们hook了ssdt结果发现调用不走他们做了hook的ssdt～～

0x2000 --- 0x2FFF
iis6有些玩意在上面要小心使用copy大法～

也可以学习老版本的带有邪恶驱动的某壳，把自己要用的调用原始ssdt描述copy到空位（空位动态定位的～～）然后inline hook KiXXX过滤并修改eax——最邪恶的是那家伙在线程上做了手脚，他加壳的线程的win32Table指向不是标准的shadowTable(嘿嘿)

多说无意～～
改bug去了

0x2000 --- 0x2FFF
iis6有些玩意在上面要小心使用copy大法～

那就用0x3000-0x3FFF嘛，目前好像还没用占用
我一直在用，“价格实惠，量又足”
对付现在的通过ssdt hook进行检测的足够了

0x3000-0x3FFF估计也有用处～

guaiguaiguan 是不是作超级巡警或那个狙剑的?

引用第50楼wangjianfeng于2007-09-14 08:25发表的  :
guaiguaiguan 是不是作超级巡警或那个狙剑的?

故事里的事说是就是不是也是 ， 故事里的事说不是就不是是也不是

引用第45楼killvxk于2007-09-13 19:43发表的  :


其实可以把调用copy到一个空的ssdt位置，填入参数描述等，然后在newkixxxx中替换eax的内容，然后继续xxx
可以想象当kav等xxx们hook了ssdt结果发现调用不走他们做了hook的ssdt～～

newkiSystem proc
...
cmp eax，001
jnz igore
mov eax , 0x5001
igore:
jmp oldkiSystem

endp

    sdt工具，在真正的hook之前，首当其冲都会对ssdt进行重置，包括指针函数入口的5个字节指令，全部使用ntk*.exe最初值进行恢复，以达到独占、排他的目的。如果这种挂接在后，就很有可能把未用的ssdt入口项全部置零，如果操作系统没有对这些无效地址进行检查，系统就等着崩溃吧。责任追究起来，至少是各打五十大板。
    另外一般hook为了不影响原有的功能，都会间接调用call oldssdtserviceentry。这种方法将使对旧函数的地址调用变得更加烦琐。
    明白了，这种方法的确可以达到隐藏的目的。很巧妙，楼上各位，只能高山仰止了！

 

唉～
天地有正气～～～

不知道又有啥玩意要出来了～

楼上的方法也挺好使，实现方法（略）

天下乱了。。

doskey跑到３６０那里去了，，

还是忙自个去喽。。。

还是觉得开源linux在内核驱动中实用的多多，，，
ｗｉｎｄｏｗ　下ｘｘ，ａｖ，，流氓，，真是疯狂了，，ａｎｔｉ　也更这狂，，
路过

引用第51楼guaiguaiguan于2007-09-14 08:30发表的  :



故事里的事说是就是不是也是 ， 故事里的事说不是就不是是也不是

到底是也不是~~~~~

引用第11楼yangtengfei于2007-09-08 11:30发表的  :


  在说瑞星差之前,为什么自己的 360 做好....
360 保险箱也只能对付一般的木马.  什么独辟安全运行空间，百毒不侵,简直扯淡.
只不过在内核中INLINE 两个函数而已,把自己宣传的跟虚拟机一样.
.......

高手耶，俺一点不懂，一点概念都不懂，那位高手给指条大道，初学者该看什么书和资料

说的跟个事一样，还不是谁能加载的问题。