[开放思路]固化挂钩

  目前一提到挂钩，保证会想到SSDT,ShadowTable，inline hook等玩意，但是这种挂钩仅仅是在内存里挂钩，我们把这种挂钩称之为动态挂钩，也叫非固化挂钩。

而固化挂钩，顾名思义就是非动态的，不在内存里的，说白了就是在文件里挂钩，把钩子处理代码都放在文件里的钩子。这样的挂钩叫做固化挂钩，也叫静态挂钩。固化挂钩从某个角度说就是感染文件插入一段代码，然后EPO了某个地方来调用，但不一定返回去了。

相比动态挂钩，他的最大优势就是可以绕过多数现存的AntiRootkit工具的检查来实现一些隐藏，比如说端口隐藏，我们固化挂钩tcpip.sys内的一个irp dispatch routine就可以绕过IS,DArkspy等检查隐藏端口，同样比如说文件隐藏，我们固化挂钩ntfs.sys,fastfat.sys,disk.sys实现绕过IS,Darkspy的检查隐藏文件，SVV类软件也无法检查出是否是我们做了钩子，同样可以固化挂钩直接修改Win32k.sys里的ShadowTable来hook某些东西（同理可以修改文件中的SSDT——这个有点困难需要移动PE文件几个结构，原因大家很明白，ntos文件没有大空隙和一些东西，要固化挂钩只能用文件尾扩展感染的办法，法，具体大家可以看看那个什么。）

固化挂钩可以用用来做的事情很多~~哈哈~~
不多说了...... 以前就有一些感染Win32k.sys的病毒，不过他们去Hook NtCreateFile去了，没有给大家一个好玩的东西，但是后来有了MGF某版本固化挂钩HAL里某个函数填入后门，不过还是没有太多人注意这个猥琐的注意，哈哈。

微软让system32及其子目录下的文件都互相校验……

引用第23楼nscboy于2007-06-07 13:13发表的  :
是不是要考虑到文件数字签名的问题啊。

如果负责签名验证的Bin也被固化修改了呢？？

是不是要考虑到文件数字签名的问题啊。

嗯，估计今后的Anti Root工具都自带一个大系统软件包了！

这个世界有了邪才会有正,没有邪,正有何意义生存?本是学术交流,不要太多道义之类,V大,贴出来吧

系统文件的感染虽然可以躲过SFC,但是系统文件的加载不像普通的PE,大部分是COM组件,感染后就失效了. 或许可以直接替换系统文件中的CODE,备份起来,等自己的CODE执行完毕后,再恢复.总之节表之类的是不行了.

熊猫烧香是捆绑EXE,把自己加在EXE的前面,用时释放罢了,不是真正的覆盖CODE或增加节表.

值得期待哟

引用第15楼JenyCheng于2007-02-27 14:36发表的“”:
老V
我同情你
万一被哪个别有用心的人
拿去做不可告人的勾当
再把你老人家给供出来
.......

太夸张了吧？好像不是制造核武器或者生化武器的原材料，泄漏出去，还不至于全球气候变暖、冰川世纪来临。如果只是加了个壳，起个光鲜的名字，就算了。

引用第15楼JenyCheng于2007-02-27 14:36发表的“”:
老V
我同情你
万一被哪个别有用心的人
拿去做不可告人的勾当
再把你老人家给供出来
.......

出现杀人案,那岂不炼铁的人都有错了,如果没有他们,就不会有刀...

hook、patch
经久不衰的话题

老V
我同情你
万一被哪个别有用心的人
拿去做不可告人的勾当
再把你老人家给供出来
那多冤枉
是不
哈

老v还是不错的人.公不公开都是个人的意愿的问题.老v已经公布了不少可用的代码,我们对此表示感谢.

引用第12楼wowocock于2007-02-27 08:54发表的“”:
这年头有思路就等于有代码了,文件感染的例子满大街都是,绕SFC的也很多,不过老V连BIN都不肯拿出来,也太抠门了点,嘿嘿......

还扣。。。仓天阿，大地阿~

这年头有思路就等于有代码了,文件感染的例子满大街都是,绕SFC的也很多,不过老V连BIN都不肯拿出来,也太抠门了点,嘿嘿......

引用第10楼guaiguaiguan于2007-02-26 20:08发表的“”:
老Ｖ是不是又准备贴代码了？我已经准备好磁盘空间了  

基本不可能~

老Ｖ是不是又准备贴代码了？我已经准备好磁盘空间了  

引用第8楼xikug于2007-02-26 12:57发表的“”:
不会蓝吧。。。最多是不起作用了。。。

......

不会蓝吧。。。最多是不起作用了。。。

引用第6楼xikug于2007-02-26 12:34发表的“”:
如果只挂钩少量的几个关键函数，用DRX来实现同样的Hook功能是不是更好呢？既可以跳过patch Guard又不用patch文件。。。嘿嘿。。。

发生冲突,系统就蓝了~~
我们要的是不蓝屏~