如此 inline hook SSDT-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
寒冰心结雪币： 8142 活跃值： (2731) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2 楼 kd> u NtOpenProcess nt!NtOpenProcess: 805c2296 68c4000000 push 0C4h 805c229b 68a8aa4d80 push offset nt!ObWatchHandles+0x25c (804daaa8) 805c22a0 e86b6cf7ff call nt!_SEH_prolog (80538f10) 内核下函数都是高地址.(0x80XXXX以上). Call的地址居然在78XXX的地址上.. 很显然.你在进行Call Replace的时候计算错偏移了. 2010-11-19 13:33 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼你不能靠68C4000000来确定NtOpenProcess。0xC4这个值对NtOpenProcess来说，不属于它的特征码。另外，既然你使用inline hook的话，NtOpenProcess是导出的。你只需要直接使用这个地址就可以了。当然，在编译的时候需要把链接器增量连接去掉(/INCREMENTAL:NO)，这样NtOpenProcess的地址才会正确。所以你根本不需要去SSDT表中找NtOpenProcess地址，转一大圈，无用功。如楼上所说，你的CALL地址竟然是0x78XXXXXXX，这是一个用户地址，无论你OFFSET是否计算正确，都是错误的。内核代码竟然CALL回用户层代码，实在是要雷倒一帮人。你inline hook取的位置很悬，把hook下在一个有相对偏移的地址，真是算你狠。这种下法，背后所要做的工作比在其它地址下hook要复杂很多。一个细节没做好，就要蓝。 NtOpenProcess还有很多可以做inline hook的地方，何苦挑这个位置呢。。。 2010-11-19 15:40 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 4 楼初学驱动，没想到这些内核函数也需要导出，当初看了很多函数开头的几个字节都是push xxx然后 call某个地址，以为这个xxx就类似函数的序号一样，所以有了这种定位的方法，不知有什么其他方法吗? 驱动加载到内存之后他的地址应该在驱动卸载之前是不变的，我在驱动里面定义的裸体函数的地址怎么不是0x80xxx以上的呢? 2010-11-20 01:56 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 5 楼顶顶。。膜拜。。。。。 2010-12-29 18:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
寒冰心结雪币： 8142 活跃值： (2731) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2 楼 kd> u NtOpenProcess nt!NtOpenProcess: 805c2296 68c4000000 push 0C4h 805c229b 68a8aa4d80 push offset nt!ObWatchHandles+0x25c (804daaa8) 805c22a0 e86b6cf7ff call nt!_SEH_prolog (80538f10) 内核下函数都是高地址.(0x80XXXX以上). Call的地址居然在78XXX的地址上.. 很显然.你在进行Call Replace的时候计算错偏移了. 2010-11-19 13:33 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼你不能靠68C4000000来确定NtOpenProcess。0xC4这个值对NtOpenProcess来说，不属于它的特征码。另外，既然你使用inline hook的话，NtOpenProcess是导出的。你只需要直接使用这个地址就可以了。当然，在编译的时候需要把链接器增量连接去掉(/INCREMENTAL:NO)，这样NtOpenProcess的地址才会正确。所以你根本不需要去SSDT表中找NtOpenProcess地址，转一大圈，无用功。如楼上所说，你的CALL地址竟然是0x78XXXXXXX，这是一个用户地址，无论你OFFSET是否计算正确，都是错误的。内核代码竟然CALL回用户层代码，实在是要雷倒一帮人。你inline hook取的位置很悬，把hook下在一个有相对偏移的地址，真是算你狠。这种下法，背后所要做的工作比在其它地址下hook要复杂很多。一个细节没做好，就要蓝。 NtOpenProcess还有很多可以做inline hook的地方，何苦挑这个位置呢。。。 2010-11-19 15:40 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 4 楼初学驱动，没想到这些内核函数也需要导出，当初看了很多函数开头的几个字节都是push xxx然后 call某个地址，以为这个xxx就类似函数的序号一样，所以有了这种定位的方法，不知有什么其他方法吗? 驱动加载到内存之后他的地址应该在驱动卸载之前是不变的，我在驱动里面定义的裸体函数的地址怎么不是0x80xxx以上的呢? 2010-11-20 01:56 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 5 楼顶顶。。膜拜。。。。。 2010-12-29 18:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复