[开放思路]固化挂钩

  目前一提到挂钩，保证会想到SSDT,ShadowTable，inline hook等玩意，但是这种挂钩仅仅是在内存里挂钩，我们把这种挂钩称之为动态挂钩，也叫非固化挂钩。

而固化挂钩，顾名思义就是非动态的，不在内存里的，说白了就是在文件里挂钩，把钩子处理代码都放在文件里的钩子。这样的挂钩叫做固化挂钩，也叫静态挂钩。固化挂钩从某个角度说就是感染文件插入一段代码，然后EPO了某个地方来调用，但不一定返回去了。

相比动态挂钩，他的最大优势就是可以绕过多数现存的AntiRootkit工具的检查来实现一些隐藏，比如说端口隐藏，我们固化挂钩tcpip.sys内的一个irp dispatch routine就可以绕过IS,DArkspy等检查隐藏端口，同样比如说文件隐藏，我们固化挂钩ntfs.sys,fastfat.sys,disk.sys实现绕过IS,Darkspy的检查隐藏文件，SVV类软件也无法检查出是否是我们做了钩子，同样可以固化挂钩直接修改Win32k.sys里的ShadowTable来hook某些东西（同理可以修改文件中的SSDT——这个有点困难需要移动PE文件几个结构，原因大家很明白，ntos文件没有大空隙和一些东西，要固化挂钩只能用文件尾扩展感染的办法，法，具体大家可以看看那个什么。）

固化挂钩可以用用来做的事情很多~~哈哈~~
不多说了...... 以前就有一些感染Win32k.sys的病毒，不过他们去Hook NtCreateFile去了，没有给大家一个好玩的东西，但是后来有了MGF某版本固化挂钩HAL里某个函数填入后门，不过还是没有太多人注意这个猥琐的注意，哈哈。

bin和src因为某些原因不能出现~
无奈无奈~
 

引用第2楼xyzreg于2007-02-26 04:32发表的“”:
……
很古老的 文件Patch 么~，非要来个动听的新词不可……

是啊~不过确实比较好用，对于那些费死力气想获得正确irp dispatch routine和code的玩意真的百用百灵~

引用第4楼wowocock于2007-02-26 09:12发表的“”:
文件感染的方法众所周知,可是实用性太差,熊猫之流的病毒之所以能流行就是因为他避免了感染系统PE文件,不然早完了,虽然可以避开SFC,不过还是有很多麻烦,不过随着PATCH GUARD的流行,可能内存HOOK也会遇到不少麻烦,也许文件感染又是条新的出路了,嘿嘿......

确实，SFC还比较容易搞定的~~哈哈~~

引用第6楼xikug于2007-02-26 12:34发表的“”:
如果只挂钩少量的几个关键函数，用DRX来实现同样的Hook功能是不是更好呢？既可以跳过patch Guard又不用patch文件。。。嘿嘿。。。

发生冲突,系统就蓝了~~
我们要的是不蓝屏~

引用第8楼xikug于2007-02-26 12:57发表的“”:
不会蓝吧。。。最多是不起作用了。。。

......

引用第10楼guaiguaiguan于2007-02-26 20:08发表的“”:
老Ｖ是不是又准备贴代码了？我已经准备好磁盘空间了  

基本不可能~

引用第12楼wowocock于2007-02-27 08:54发表的“”:
这年头有思路就等于有代码了,文件感染的例子满大街都是,绕SFC的也很多,不过老V连BIN都不肯拿出来,也太抠门了点,嘿嘿......

还扣。。。仓天阿，大地阿~

引用第23楼nscboy于2007-06-07 13:13发表的  :
是不是要考虑到文件数字签名的问题啊。

如果负责签名验证的Bin也被固化修改了呢？？