killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
阅读:4176回复:25

[开放思路]固化挂钩

楼主#
更多 发布于:2007-02-26 02:28
  目前一提到挂钩,保证会想到SSDT,ShadowTable,inline hook等玩意,但是这种挂钩仅仅是在内存里挂钩,我们把这种挂钩称之为动态挂钩,也叫非固化挂钩。

而固化挂钩,顾名思义就是非动态的,不在内存里的,说白了就是在文件里挂钩,把钩子处理代码都放在文件里的钩子。这样的挂钩叫做固化挂钩,也叫静态挂钩。固化挂钩从某个角度说就是感染文件插入一段代码,然后EPO了某个地方来调用,但不一定返回去了。

相比动态挂钩,他的最大优势就是可以绕过多数现存的AntiRootkit工具的检查来实现一些隐藏,比如说端口隐藏,我们固化挂钩tcpip.sys内的一个irp dispatch routine就可以绕过IS,DArkspy等检查隐藏端口,同样比如说文件隐藏,我们固化挂钩ntfs.sys,fastfat.sys,disk.sys实现绕过IS,Darkspy的检查隐藏文件,SVV类软件也无法检查出是否是我们做了钩子,同样可以固化挂钩直接修改Win32k.sys里的ShadowTable来hook某些东西(同理可以修改文件中的SSDT——这个有点困难需要移动PE文件几个结构,原因大家很明白,ntos文件没有大空隙和一些东西,要固化挂钩只能用文件尾扩展感染的办法,法,具体大家可以看看那个什么。)

固化挂钩可以用用来做的事情很多~~哈哈~~
不多说了...... 以前就有一些感染Win32k.sys的病毒,不过他们去Hook NtCreateFile去了,没有给大家一个好玩的东西,但是后来有了MGF某版本固化挂钩HAL里某个函数填入后门,不过还是没有太多人注意这个猥琐的注意,哈哈。
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
沙发#
发布于:2007-02-26 02:29
bin和src因为某些原因不能出现~
无奈无奈~
 
没有战争就没有进步 X3工作组 为您提供最好的军火
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2007-02-26 04:32
……
很古老的 文件Patch 么~,非要来个动听的新词不可……
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
地板#
发布于:2007-02-26 04:46
引用第2楼xyzreg2007-02-26 04:32发表的“”:
……
很古老的 文件Patch 么~,非要来个动听的新词不可……

是啊~不过确实比较好用,对于那些费死力气想获得正确irp dispatch routine和code的玩意真的百用百灵~
没有战争就没有进步 X3工作组 为您提供最好的军火
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
地下室#
发布于:2007-02-26 09:12
文件感染的方法众所周知,可是实用性太差,熊猫之流的病毒之所以能流行就是因为他避免了感染系统PE文件,不然早完了,虽然可以避开SFC,不过还是有很多麻烦,不过随着PATCH GUARD的流行,可能内存HOOK也会遇到不少麻烦,也许文件感染又是条新的出路了,嘿嘿......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
5楼#
发布于:2007-02-26 12:16
引用第4楼wowocock2007-02-26 09:12发表的“”:
文件感染的方法众所周知,可是实用性太差,熊猫之流的病毒之所以能流行就是因为他避免了感染系统PE文件,不然早完了,虽然可以避开SFC,不过还是有很多麻烦,不过随着PATCH GUARD的流行,可能内存HOOK也会遇到不少麻烦,也许文件感染又是条新的出路了,嘿嘿......


确实,SFC还比较容易搞定的~~哈哈~~
没有战争就没有进步 X3工作组 为您提供最好的军火
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
6楼#
发布于:2007-02-26 12:34
如果只挂钩少量的几个关键函数,用DRX来实现同样的Hook功能是不是更好呢?既可以跳过patch Guard又不用patch文件。。。嘿嘿。。。
http://www.debugman.com
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
7楼#
发布于:2007-02-26 12:50
引用第6楼xikug2007-02-26 12:34发表的“”:
如果只挂钩少量的几个关键函数,用DRX来实现同样的Hook功能是不是更好呢?既可以跳过patch Guard又不用patch文件。。。嘿嘿。。。

发生冲突,系统就蓝了~~
我们要的是不蓝屏~
没有战争就没有进步 X3工作组 为您提供最好的军火
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
8楼#
发布于:2007-02-26 12:57
不会蓝吧。。。最多是不起作用了。。。
http://www.debugman.com
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
9楼#
发布于:2007-02-26 13:49
引用第8楼xikug2007-02-26 12:57发表的“”:
不会蓝吧。。。最多是不起作用了。。。


......
没有战争就没有进步 X3工作组 为您提供最好的军火
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
10楼#
发布于:2007-02-26 20:08
老V是不是又准备贴代码了?我已经准备好磁盘空间了  
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
11楼#
发布于:2007-02-27 03:15
引用第10楼guaiguaiguan2007-02-26 20:08发表的“”:
老V是不是又准备贴代码了?我已经准备好磁盘空间了  

基本不可能~
没有战争就没有进步 X3工作组 为您提供最好的军火
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
12楼#
发布于:2007-02-27 08:54
这年头有思路就等于有代码了,文件感染的例子满大街都是,绕SFC的也很多,不过老V连BIN都不肯拿出来,也太抠门了点,嘿嘿......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
13楼#
发布于:2007-02-27 09:04
引用第12楼wowocock2007-02-27 08:54发表的“”:
这年头有思路就等于有代码了,文件感染的例子满大街都是,绕SFC的也很多,不过老V连BIN都不肯拿出来,也太抠门了点,嘿嘿......

还扣。。。仓天阿,大地阿~
没有战争就没有进步 X3工作组 为您提供最好的军火
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2021-09-20
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
  • 社区居民
  • 最爱沙发
  • 社区明星
14楼#
发布于:2007-02-27 10:10
老v还是不错的人.公不公开都是个人的意愿的问题.老v已经公布了不少可用的代码,我们对此表示感谢.
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
JenyCheng
驱动小牛
驱动小牛
  • 注册日期2005-07-26
  • 最后登录2021-01-24
  • 粉丝2
  • 关注0
  • 积分57分
  • 威望646点
  • 贡献值0点
  • 好评度119点
  • 原创分0分
  • 专家分0分
  • 社区居民
15楼#
发布于:2007-02-27 14:36
老V
我同情你
万一被哪个别有用心的人
拿去做不可告人的勾当
再把你老人家给供出来
那多冤枉
是不
xinruzhishui
驱动牛犊
驱动牛犊
  • 注册日期2006-04-06
  • 最后登录2010-08-25
  • 粉丝0
  • 关注0
  • 积分450分
  • 威望47点
  • 贡献值0点
  • 好评度46点
  • 原创分0分
  • 专家分0分
16楼#
发布于:2007-02-27 15:25
hook、patch
经久不衰的话题
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2021-09-20
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
  • 社区居民
  • 最爱沙发
  • 社区明星
17楼#
发布于:2007-02-27 16:13
引用第15楼JenyCheng2007-02-27 14:36发表的“”:
老V
我同情你
万一被哪个别有用心的人
拿去做不可告人的勾当
再把你老人家给供出来
.......



出现杀人案,那岂不炼铁的人都有错了,如果没有他们,就不会有刀...
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
18楼#
发布于:2007-02-27 20:22
引用第15楼JenyCheng2007-02-27 14:36发表的“”:
老V
我同情你
万一被哪个别有用心的人
拿去做不可告人的勾当
再把你老人家给供出来
.......


太夸张了吧?好像不是制造核武器或者生化武器的原材料,泄漏出去,还不至于全球气候变暖、冰川世纪来临。如果只是加了个壳,起个光鲜的名字,就算了。
imaoge
驱动牛犊
驱动牛犊
  • 注册日期2006-04-29
  • 最后登录2010-03-11
  • 粉丝0
  • 关注0
  • 积分280分
  • 威望29点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
19楼#
发布于:2007-03-01 13:05
值得期待哟
上一页
游客

返回顶部