[原创]2nd: 重加载内核绕过内核钩子之类神马的~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]2nd: 重加载内核绕过内核钩子之类神马的~

发表于: 2011-9-15 16:31 52270

[原创]2nd: 重加载内核绕过内核钩子之类神马的~

长风傲天

2011-9-15 16:31

52270

这是第二篇，还有一篇很烂的文章

内核自古乃兵家必争之地，某些流氓，某些小人，总喜欢在内核做一堆的patch，你patch就算了，你还去patch那些未导出的危险函数，让机器BSOD，这也算了，你还加个检测，我勒个去，是可忍孰不可忍！

兔子逼急了还要咬人，哥逼急了直接灭了你

算了，其实很简单的两步。。。。好吧，我承认我是来骗kx的

1：将内核文件映射到我内核空间去；
2：path KiFastCallEntry重定向

一：加载内核

1：关于加载
我代码里用了两种方法，一种被我注释了的：
a:使用ZwCreateSection + ZwMapVieOfSection 结合 SEC_IMAGE 标志来加载，此时加载的地址必定是位于user-mode空间，可以简单的用MDL锁定，然后映射这些页面到kernel-mode空间，也可以直接ExAllocatePool 然后 copy加载的镜像
b ：直接ReadFile啦，对PE格式了解点点，很简单的，不多说，看代码吧

2：关于修正镜像
1：重定位
这个是必须的，但是要注意，必须以原先系统的内核为基址重定位，因为你想自己初始化一些东西如对象头，调度链之类的已经不可能了，你必须让新内核的数据指向老内核

2：修正SDT
这个不需要多说，算算RVA，四则运算一做就好啦

参考资料：网易博客一篇好像叫《kernel in kernel》的文章……具体我也不清楚了，调试这个驱动时发现的一篇的文章，写的很好

PS:
none

*******************邪恶的分割线**************************
代码+bin:

[课程]Android-CTF解题方法汇总！

上传的附件：

KernelLoader_sys.7z （26.64kb，828次下载）

收藏・84

免费・7

支持

最新回复 (54) 1 2 3 ▶
收破烂的雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 155 粉丝 0 关注私信	收破烂的 2 楼沙发，，楼主乃强人。。。 2011-9-15 16:38 0
liushijie 雪币： 154 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	liushijie 3 楼先看看后，在来顶，呵呵 2011-9-15 16:52 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 4 楼呵呵楼主有偏见啊我们现在好多代码就是抄微软的。 2011-9-15 17:08 0
djxh 雪币： 1683 活跃值： (674) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 5 楼 KiFastCallEntry伤不起呀，这么多东西搞它。 2011-9-15 17:11 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 6 楼这倒是，我的本意也只是给大家一点思路，至于发挥嘛~嘿嘿 2011-9-15 17:46 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 7 楼不是我有偏见，每个职业都有它们的原则嘛…… 虽然我菜，但是我的代码都是自己的劳动成果。我放代码时问心无愧就够了~ 2011-9-15 17:47 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 8 楼我想说，你都有权限去加载kernel，何不主动去对抗主防的钩子？ 2011-9-15 17:48 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 9 楼说实话吧，这个东西拿来对抗游戏保护最好玩了。据说AGP = reloadKernel + maintain debug object 。就这样。。。我一再强调，我只给个思路而已，至于如何发挥，那与我无关 2011-9-15 19:38 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼 http://yukei.blog.163.com/blog/static/112587703201022262224461/ 话说，据说是因为你的hook的代码有问题~ 2011-9-15 20:26 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 11 楼那段HOOK代码发帖的时候被我改过再发的，源码倒不是那样。原因就不解释了 2011-9-15 20:47 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼重定位只要把位于XX段的地址重定位给老内核位于XXx段的可以定给XX~ 我想你懂得~ 2011-9-16 00:03 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 13 楼你的异常分发抄到哪了。commException和kidispatchxxx这两个函数抄没抄啊 2011-9-16 00:12 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 14 楼俺弄了份。4核不蓝。 2011-9-16 00:18 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼一个都没抄，话说，搞了新方法~ 2011-9-16 00:19 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼内核reload太暴力鸟~ 2011-9-16 00:20 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 17 楼嘿嘿，他们有兴趣的再慢慢折腾啦 2011-9-16 00:22 0
lwykj 雪币： 870 活跃值： (1033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 18 楼强人拜一下 2011-9-16 00:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼其实第一次看到这种reload内核是在rootkit.com上那个什么什么l隐藏啊~ 2011-9-16 00:26 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 20 楼求内幕…… 以前从朋友那里拿到一份老的release版的AGP，IDA了下就没弄了，那版的AGP在sp2 sp3上蓝的一塌糊涂 2011-9-16 00:26 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 21 楼他发截图了，各种疯狂。。就不晓得他的新方法能不能兼容WIN7 2011-9-16 00:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 22 楼过几天我放个memory hook的出来玩玩，也许V大你已经知道了，那篇shadow walker论文，写的实在是精彩 2011-9-16 00:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 23 楼其实reloadKernel + memory hook 可以bypass一切游戏保护，只是说调戏还需要AGP的maitain debug object……WRK真是造福全人类啊 2011-9-16 00:30 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 24 楼尼玛的，做游戏保护的你伤不起啊。 memory hook是改内存属性？ 2011-9-16 00:36 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 25 楼你把你邮箱给我，我发给你一篇论文你就知道了…… 那是国外的牛写的，据说是第四代rootkit啦，虽然他所测试的demo有限制： 1：不支持PAE 2：不支持多核但是我们只要了解它的思想就够了，一定能自己完善 2011-9-16 00:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

长风傲天

发帖

110

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) 1 2 3 ▶
收破烂的雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 155 粉丝 0 关注私信	收破烂的 2 楼沙发，，楼主乃强人。。。 2011-9-15 16:38 0
liushijie 雪币： 154 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	liushijie 3 楼先看看后，在来顶，呵呵 2011-9-15 16:52 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 4 楼呵呵楼主有偏见啊我们现在好多代码就是抄微软的。 2011-9-15 17:08 0
djxh 雪币： 1683 活跃值： (674) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 5 楼 KiFastCallEntry伤不起呀，这么多东西搞它。 2011-9-15 17:11 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 6 楼这倒是，我的本意也只是给大家一点思路，至于发挥嘛~嘿嘿 2011-9-15 17:46 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 7 楼不是我有偏见，每个职业都有它们的原则嘛…… 虽然我菜，但是我的代码都是自己的劳动成果。我放代码时问心无愧就够了~ 2011-9-15 17:47 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 8 楼我想说，你都有权限去加载kernel，何不主动去对抗主防的钩子？ 2011-9-15 17:48 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 9 楼说实话吧，这个东西拿来对抗游戏保护最好玩了。据说AGP = reloadKernel + maintain debug object 。就这样。。。我一再强调，我只给个思路而已，至于如何发挥，那与我无关 2011-9-15 19:38 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼 http://yukei.blog.163.com/blog/static/112587703201022262224461/ 话说，据说是因为你的hook的代码有问题~ 2011-9-15 20:26 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 11 楼那段HOOK代码发帖的时候被我改过再发的，源码倒不是那样。原因就不解释了 2011-9-15 20:47 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼重定位只要把位于XX段的地址重定位给老内核位于XXx段的可以定给XX~ 我想你懂得~ 2011-9-16 00:03 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 13 楼你的异常分发抄到哪了。commException和kidispatchxxx这两个函数抄没抄啊 2011-9-16 00:12 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 14 楼俺弄了份。4核不蓝。 2011-9-16 00:18 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼一个都没抄，话说，搞了新方法~ 2011-9-16 00:19 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼内核reload太暴力鸟~ 2011-9-16 00:20 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 17 楼嘿嘿，他们有兴趣的再慢慢折腾啦 2011-9-16 00:22 0
lwykj 雪币： 870 活跃值： (1033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 18 楼强人拜一下 2011-9-16 00:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼其实第一次看到这种reload内核是在rootkit.com上那个什么什么l隐藏啊~ 2011-9-16 00:26 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 20 楼求内幕…… 以前从朋友那里拿到一份老的release版的AGP，IDA了下就没弄了，那版的AGP在sp2 sp3上蓝的一塌糊涂 2011-9-16 00:26 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 21 楼他发截图了，各种疯狂。。就不晓得他的新方法能不能兼容WIN7 2011-9-16 00:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 22 楼过几天我放个memory hook的出来玩玩，也许V大你已经知道了，那篇shadow walker论文，写的实在是精彩 2011-9-16 00:28 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 23 楼其实reloadKernel + memory hook 可以bypass一切游戏保护，只是说调戏还需要AGP的maitain debug object……WRK真是造福全人类啊 2011-9-16 00:30 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 24 楼尼玛的，做游戏保护的你伤不起啊。 memory hook是改内存属性？ 2011-9-16 00:36 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 25 楼你把你邮箱给我，我发给你一篇论文你就知道了…… 那是国外的牛写的，据说是第四代rootkit啦，虽然他所测试的demo有限制： 1：不支持PAE 2：不支持多核但是我们只要了解它的思想就够了，一定能自己完善 2011-9-16 00:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复