[原创]2nd: 重加载内核绕过内核钩子之类神马的~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]2nd: 重加载内核绕过内核钩子之类神马的~

发表于: 2011-9-15 16:31 52391

[原创]2nd: 重加载内核绕过内核钩子之类神马的~

长风傲天

2011-9-15 16:31

52391

查看主题内容

收藏・84

免费・7

支持

最新回复 (54) ◀ 1 2 3 ▶
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 26 楼只能过些钩子,那些结构没初始化你咋过dkom?还不是得自己搞. 2011-9-16 00:51 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 27 楼不是我自己搞，而是你自己搞，若想搞，参加ObInitSystem函数…… 祖国的未来是你们的，加油吧 2011-9-16 00:59 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 28 楼原来大家早这么干了 2011-9-16 02:23 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 29 楼你是想废天子，还是想胁天子令诸侯 2011-9-16 02:47 0
ProbieTmp 雪币： 144 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ProbieTmp 30 楼果然XX... 2011-9-16 03:30 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 31 楼 phide2里面有自己构造调度链什么的东西，然后结合vmx86.sys里的偷时间切换+vt-x大法弄个kernel run in kernel更好，更邪魔~ 新AGP依然不准备支持win7支持，其实要支持也挺快就是改一堆结构~ 2011-9-16 03:56 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 32 楼一直抄nt4的代码的说，wrk的代码有些东西不对，会蓝的要死~ 2011-9-16 03:57 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 33 楼我勒个去，居然还没睡，，，牛啊牛。。。想要让新kernel在旧kernel中跑起来，要有很多事情做……难啊，麻烦啊，天啊不过要是做出来了……那就真的是打不死的小强了 2011-9-16 04:10 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 34 楼膜拜 V 插 K 童鞋 2011-9-16 10:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 35 楼凑字数也不是这么凑的~ 最近还玩球乎？ 2011-9-16 11:35 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 36 楼做稳定了，可以直接搞一套跟vps差不多的东西出来~也做虚拟计算好了~ 做的不稳定就只能用来搞蛋~ 2011-9-16 11:37 0
hacknr 雪币： 250 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hacknr 37 楼顶上去 2011-9-16 13:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 38 楼发个广告……建了个小群，欢迎没事来扯淡：50530582 2011-9-16 19:07 0
oujuanfei 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	oujuanfei 39 楼楼主能贴断映射内核到内存然后读取某函数前几个字节的方法吗 2011-9-18 21:42 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 40 楼兄弟，映射代码我的附件里有完整的，缓冲区可读可写可执行，你直接确定函数地址，RtlCopyMemory就行了 2011-9-18 22:32 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 41 楼论坛的坛友老是强调怎么用，不是关注技术。。很奇怪，那啥，连连看的源码关注的人很多，反倒很多技术贴老被人问有没有用。。有点悲哀了。。顶楼主。。。源码收了哈哈 2011-9-18 22:52 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 42 楼虽然我的算不上什么技术贴，不过终于遇上一个有相同看法的同志了 2011-9-18 23:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 43 楼非常有同感~~ 2011-9-18 23:46 0
yuweiping 雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yuweiping 44 楼第一次看到这样的贴，不是很懂。。。。。谢谢分享 2011-9-20 12:12 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 45 楼这又是什么神奇的技术 2011-12-1 17:06 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 46 楼 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _VerifyCallIndex@4 referenced in function _VerifyCall@12 1>drventry.obj : error LNK2019: unresolved external symbol _VerifyCaller@4 referenced in function _VerifyCall@12 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _VerifyCaller@4 referenced in function _VerifyCall@12 1>drventry.obj : error LNK2019: unresolved external symbol _PageProtectOn@0 referenced in function _HookKiFastCallEntry@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _PageProtectOn@0 referenced in function _HookKiFastCallEntry@4 1>drventry.obj : error LNK2019: unresolved external symbol _PageProtectOff@0 referenced in function _HookKiFastCallEntry@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _PageProtectOff@0 referenced in function _HookKiFastCallEntry@4 1>drventry.obj : error LNK2019: unresolved external symbol _GetSystemRoutineAddress@4 referenced in function _GetHookStartAddress@0 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _GetSystemRoutineAddress@4 referenced in function _GetHookStartAddress@0 1>drventry.obj : error LNK2019: unresolved external symbol _DeleteProcVerify@4 referenced in function _ProcessMonitor@12 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _DeleteProcVerify@4 referenced in function _ProcessMonitor@12 1>drventry.obj : error LNK2019: unresolved external symbol _AddProcVerify@4 referenced in function _ProcessMonitor@12 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _AddProcVerify@4 referenced in function _ProcessMonitor@12 1>drventry.obj : error LNK2019: unresolved external symbol _UnloadKernel@0 referenced in function _OnUnload@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _UnloadKernel@0 referenced in function _OnUnload@4 1>drventry.obj : error LNK2019: unresolved external symbol _UninitVerify@0 referenced in function _OnUnload@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _UninitVerify@0 referenced in function _OnUnload@4 1>drventry.obj : error LNK2019: unresolved external symbol _InitVerify@0 referenced in function _DriverEntry@8 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _InitVerify@0 referenced in function _DriverEntry@8 1>drventry.obj : error LNK2019: unresolved external symbol _LoadKernel@4 referenced in function _DriverEntry@8 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _LoadKernel@4 referenced in function _DriverEntry@8 1>c:\kernelloader_sys\objchk_wxp_x86\i386\Kernal.sys : fatal error LNK1120: 11 unresolved externals 1>c:\kernelloader_sys\objchk_wxp_x86\i386\kernal.sys : error LNK1120: 11 unresolved externals 2012-1-23 13:07 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 47 楼刚看见这个帖子，好像很深遂 2012-1-23 14:23 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 48 楼现在驱动加载成功↓ 但自己写个SSDTHook 和InlineHook 都无法绕过用冰刃查看也是读取到老内核↓ 这是为什么呢? 测试环境 Windows Sp2 WDK7600 2012-1-24 11:52 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 49 楼 Sorry 没注意到DispatchRoutine的部分已經搞定!! 太不专心了...呵呵 2012-1-24 12:31 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 50 楼好东西，关注中…… 2012-1-24 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

长风傲天

发帖

110

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) ◀ 1 2 3 ▶
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 26 楼只能过些钩子,那些结构没初始化你咋过dkom?还不是得自己搞. 2011-9-16 00:51 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 27 楼不是我自己搞，而是你自己搞，若想搞，参加ObInitSystem函数…… 祖国的未来是你们的，加油吧 2011-9-16 00:59 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 28 楼原来大家早这么干了 2011-9-16 02:23 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 29 楼你是想废天子，还是想胁天子令诸侯 2011-9-16 02:47 0
ProbieTmp 雪币： 144 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ProbieTmp 30 楼果然XX... 2011-9-16 03:30 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 31 楼 phide2里面有自己构造调度链什么的东西，然后结合vmx86.sys里的偷时间切换+vt-x大法弄个kernel run in kernel更好，更邪魔~ 新AGP依然不准备支持win7支持，其实要支持也挺快就是改一堆结构~ 2011-9-16 03:56 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 32 楼一直抄nt4的代码的说，wrk的代码有些东西不对，会蓝的要死~ 2011-9-16 03:57 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 33 楼我勒个去，居然还没睡，，，牛啊牛。。。想要让新kernel在旧kernel中跑起来，要有很多事情做……难啊，麻烦啊，天啊不过要是做出来了……那就真的是打不死的小强了 2011-9-16 04:10 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 34 楼膜拜 V 插 K 童鞋 2011-9-16 10:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 35 楼凑字数也不是这么凑的~ 最近还玩球乎？ 2011-9-16 11:35 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 36 楼做稳定了，可以直接搞一套跟vps差不多的东西出来~也做虚拟计算好了~ 做的不稳定就只能用来搞蛋~ 2011-9-16 11:37 0
hacknr 雪币： 250 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hacknr 37 楼顶上去 2011-9-16 13:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 38 楼发个广告……建了个小群，欢迎没事来扯淡：50530582 2011-9-16 19:07 0
oujuanfei 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	oujuanfei 39 楼楼主能贴断映射内核到内存然后读取某函数前几个字节的方法吗 2011-9-18 21:42 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 40 楼兄弟，映射代码我的附件里有完整的，缓冲区可读可写可执行，你直接确定函数地址，RtlCopyMemory就行了 2011-9-18 22:32 0
wuaiwu 雪币： 836 活跃值： (2807) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 41 楼论坛的坛友老是强调怎么用，不是关注技术。。很奇怪，那啥，连连看的源码关注的人很多，反倒很多技术贴老被人问有没有用。。有点悲哀了。。顶楼主。。。源码收了哈哈 2011-9-18 22:52 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 42 楼虽然我的算不上什么技术贴，不过终于遇上一个有相同看法的同志了 2011-9-18 23:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 43 楼非常有同感~~ 2011-9-18 23:46 0
yuweiping 雪币： 278 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yuweiping 44 楼第一次看到这样的贴，不是很懂。。。。。谢谢分享 2011-9-20 12:12 0
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 45 楼这又是什么神奇的技术 2011-12-1 17:06 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 46 楼 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _VerifyCallIndex@4 referenced in function _VerifyCall@12 1>drventry.obj : error LNK2019: unresolved external symbol _VerifyCaller@4 referenced in function _VerifyCall@12 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _VerifyCaller@4 referenced in function _VerifyCall@12 1>drventry.obj : error LNK2019: unresolved external symbol _PageProtectOn@0 referenced in function _HookKiFastCallEntry@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _PageProtectOn@0 referenced in function _HookKiFastCallEntry@4 1>drventry.obj : error LNK2019: unresolved external symbol _PageProtectOff@0 referenced in function _HookKiFastCallEntry@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _PageProtectOff@0 referenced in function _HookKiFastCallEntry@4 1>drventry.obj : error LNK2019: unresolved external symbol _GetSystemRoutineAddress@4 referenced in function _GetHookStartAddress@0 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _GetSystemRoutineAddress@4 referenced in function _GetHookStartAddress@0 1>drventry.obj : error LNK2019: unresolved external symbol _DeleteProcVerify@4 referenced in function _ProcessMonitor@12 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _DeleteProcVerify@4 referenced in function _ProcessMonitor@12 1>drventry.obj : error LNK2019: unresolved external symbol _AddProcVerify@4 referenced in function _ProcessMonitor@12 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _AddProcVerify@4 referenced in function _ProcessMonitor@12 1>drventry.obj : error LNK2019: unresolved external symbol _UnloadKernel@0 referenced in function _OnUnload@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _UnloadKernel@0 referenced in function _OnUnload@4 1>drventry.obj : error LNK2019: unresolved external symbol _UninitVerify@0 referenced in function _OnUnload@4 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _UninitVerify@0 referenced in function _OnUnload@4 1>drventry.obj : error LNK2019: unresolved external symbol _InitVerify@0 referenced in function _DriverEntry@8 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _InitVerify@0 referenced in function _DriverEntry@8 1>drventry.obj : error LNK2019: unresolved external symbol _LoadKernel@4 referenced in function _DriverEntry@8 1>c:\kernelloader_sys\drventry.obj : error LNK2019: unresolved external symbol _LoadKernel@4 referenced in function _DriverEntry@8 1>c:\kernelloader_sys\objchk_wxp_x86\i386\Kernal.sys : fatal error LNK1120: 11 unresolved externals 1>c:\kernelloader_sys\objchk_wxp_x86\i386\kernal.sys : error LNK1120: 11 unresolved externals 2012-1-23 13:07 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 47 楼刚看见这个帖子，好像很深遂 2012-1-23 14:23 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 48 楼现在驱动加载成功↓ 但自己写个SSDTHook 和InlineHook 都无法绕过用冰刃查看也是读取到老内核↓ 这是为什么呢? 测试环境 Windows Sp2 WDK7600 2012-1-24 11:52 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 49 楼 Sorry 没注意到DispatchRoutine的部分已經搞定!! 太不专心了...呵呵 2012-1-24 12:31 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 50 楼好东西，关注中…… 2012-1-24 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复