[原创]某安全卫士的内核hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某安全卫士的内核hook

发表于: 2011-11-25 20:04 51765

[原创]某安全卫士的内核hook

guxinyi

2011-11-25 20:04

51765

思路：
1、自己分配一块内存，存放需要hook的函数地址。
2、从内核模块中读取相应内核函数的地址，然后存放在自己分配的内存中。
3、修改nt!KiFastCallEntry函数中的代码，使跳入自己的驱动模块中。

优点：坚决不修改ssdt和内核模块中的数据，使得一般的工具软件无法检查出hook信息，也避免了和其他软件的不兼容性。

详细情况，请看图：

正常状态

hook后

下面是如何解除360的hook,看图：

驱动在 explorer.rar 中，此驱动只在win7 32位下测试过，可用。
// 解除360的hook
if( !NT_SUCCESS( KillHookPort() ) )
{
KdPrint( ( "解除360的hook失败！" ) );
}
else
{
KdPrint( ( "解除360的hook成功！" ) );
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

before.png （29.02kb，2734次下载）
after.png （35.45kb，2726次下载）
subFindApiAddr.txt （3.91kb，343次下载）
save_api_address.txt （10.94kb，377次下载）
修改.png （15.20kb，2502次下载）
效果.png （483.53kb，2554次下载）
explorer.rar （221.02kb，372次下载）
MyInjectEx.zip （1.62MB，530次下载）

收藏・59

免费・6

支持

最新回复 (58) 1 2 3 ▶
zhouws 雪币： 3110 活跃值： (1254) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼楼主火星了。。 2011-11-25 20:54 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 3 楼没怎么在论坛里混，最近打算自己研究些东西，就当是笔记，，呵呵 2011-11-25 21:49 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 4 楼 360的HookPort驱动。。。。。 2011-11-26 14:00 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 5 楼 N年前就被逆烂了.. 2011-11-26 14:17 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 6 楼别人逆过它是别人的事我研究它是我的事。。。。 2011-11-27 01:05 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 7 楼实习版主也是版主，不能说带有轻蔑语气的话。 2011-11-27 09:51 0
jet_coder 雪币： 165 活跃值： (1431) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 66 粉丝 0 关注私信	jet_coder 8 楼地球人都知道的事情... 2011-11-27 10:16 0
kongfei 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 71 粉丝 0 关注私信	kongfei 9 楼过来顶一个，支持楼主走自己的路 2011-11-27 10:23 0
糊涂蛋雪币： 29 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 71 粉丝 0 关注私信	糊涂蛋 10 楼 LZ，我支持你一个，很好。 2011-11-27 10:44 0
comcsu 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	comcsu 11 楼 LZ我**，学习是从基础开始的 2011-11-27 10:54 0
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 12 楼就是，不能打击菜鸟的积极性，毕竟是大家共同维护的地方，看雪论坛就似我的一日三餐，少不得。 2011-11-28 09:55 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 13 楼好文。支持楼主。 2011-11-28 15:33 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 14 楼精华不在于此 2011-11-28 16:09 0
殁十一雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	殁十一 15 楼真好 .. 2011-11-28 16:21 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 16 楼谢谢各位的支持我只是分享下我的东西，希望能帮助到大家。另外，别人逆的都是以前的版本，跟现在的版本多半会有所不同（很显然，360很s13，这么久都没变过）；还有，自己逆一遍肯定收获会更多，所以必须自己搞。。。其实逆向真的很简单，把它当作工具就好了，我只会点儿汇编都能逆出来。呵呵 2011-11-28 16:24 0
rgpwoaini 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	rgpwoaini 17 楼 <<<<< 优点：坚决不修改ssdt和内核模块中的数据，使得一般的工具软件无法检查出hook信息，也避免了和其他软件的不兼容性。详细情况，请看图： >>>>> 我想他已经修改了内核模块数据其实使用 HOOK THREAD SSDT 会更加隐蔽并且本人软件使用过该方法了兼容性稳定性都可以 2011-11-28 16:41 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 18 楼 ls的，代码搞出来撒， 2011-11-28 16:45 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 19 楼没有看到它修改内核模块数据我现正在偷窥360的各个功能，感觉很良好哈， 2011-11-28 16:47 0
rgpwoaini 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	rgpwoaini 20 楼 kifastcall 不是内核模块中的？再就是如此明显的HOOK 任何 ark工具一搜就到 HOOK THREAD 就不公布源码了因为本人软件正使用中（商业版）可以给提示看thread结构之前网络上看到过关于这方面的介绍但没见到过源码不过网络上提供的思路是修改thread里面的 ssdt指针但是却缺少了最重要的一点就是kifastcall里面线程 ssdt指针与 shadow指针的转换很要命这点克服就可以OK了可以将整个kifastcall 逆向一下分析看看就会发现其实ssdt表的获取并非通过KeServiceDescriptorTable 此方法做到不修改任何内核原始数据并且可以指定某个进程线程的 SSDT恢复&HOOK 2011-11-28 17:16 0
luzhmu 雪币： 86 活跃值： (1043) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 21 楼我是绝对支持开源的，楼主，俺们支持你 2011-11-28 17:49 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 22 楼该方法在ROOTKIT.COM被人提及过，属于DKOM ,替换ETHREAD表里的SSDT表，思路不错，不过一样受到360hook的限制。 2011-11-28 18:55 0
rgpwoaini 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	rgpwoaini 23 楼嗯确实其实安全软件的控制仅限于没有进入内核之前如果可以的话只要木马或是黑客可以进入R0 那杀软的很多功能将会失效并且很轻易就可以kill掉。就比如绕ssdt 所以我感觉杀毒其实更应该叫做防毒软件因为病毒一旦能够进入，说明早已做好了充足准备尤其是能在杀毒软件开启的状态下其实想想那些每天挖漏洞过安软的牛人就由心的对其“孜孜不倦”的钻研精神佩服有加（不知道是不是完全的利益驱使） 2011-11-29 02:01 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 24 楼以前看代码的时候,也有过这种想法没想到的是真的可以实现啊佩服佩服 2011-11-29 03:59 0
yyqkxxy 雪币： 4558 活跃值： (1277) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	yyqkxxy 25 楼支持楼主。写得非常好 2011-11-29 05:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

guxinyi

发帖

681

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) 1 2 3 ▶
zhouws 雪币： 3110 活跃值： (1254) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼楼主火星了。。 2011-11-25 20:54 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 3 楼没怎么在论坛里混，最近打算自己研究些东西，就当是笔记，，呵呵 2011-11-25 21:49 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 4 楼 360的HookPort驱动。。。。。 2011-11-26 14:00 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 5 楼 N年前就被逆烂了.. 2011-11-26 14:17 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 6 楼别人逆过它是别人的事我研究它是我的事。。。。 2011-11-27 01:05 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 7 楼实习版主也是版主，不能说带有轻蔑语气的话。 2011-11-27 09:51 0
jet_coder 雪币： 165 活跃值： (1431) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 66 粉丝 0 关注私信	jet_coder 8 楼地球人都知道的事情... 2011-11-27 10:16 0
kongfei 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 71 粉丝 0 关注私信	kongfei 9 楼过来顶一个，支持楼主走自己的路 2011-11-27 10:23 0
糊涂蛋雪币： 29 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 71 粉丝 0 关注私信	糊涂蛋 10 楼 LZ，我支持你一个，很好。 2011-11-27 10:44 0
comcsu 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	comcsu 11 楼 LZ我**，学习是从基础开始的 2011-11-27 10:54 0
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 12 楼就是，不能打击菜鸟的积极性，毕竟是大家共同维护的地方，看雪论坛就似我的一日三餐，少不得。 2011-11-28 09:55 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 13 楼好文。支持楼主。 2011-11-28 15:33 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 14 楼精华不在于此 2011-11-28 16:09 0
殁十一雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	殁十一 15 楼真好 .. 2011-11-28 16:21 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 16 楼谢谢各位的支持我只是分享下我的东西，希望能帮助到大家。另外，别人逆的都是以前的版本，跟现在的版本多半会有所不同（很显然，360很s13，这么久都没变过）；还有，自己逆一遍肯定收获会更多，所以必须自己搞。。。其实逆向真的很简单，把它当作工具就好了，我只会点儿汇编都能逆出来。呵呵 2011-11-28 16:24 0
rgpwoaini 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	rgpwoaini 17 楼 <<<<< 优点：坚决不修改ssdt和内核模块中的数据，使得一般的工具软件无法检查出hook信息，也避免了和其他软件的不兼容性。详细情况，请看图： >>>>> 我想他已经修改了内核模块数据其实使用 HOOK THREAD SSDT 会更加隐蔽并且本人软件使用过该方法了兼容性稳定性都可以 2011-11-28 16:41 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 18 楼 ls的，代码搞出来撒， 2011-11-28 16:45 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 19 楼没有看到它修改内核模块数据我现正在偷窥360的各个功能，感觉很良好哈， 2011-11-28 16:47 0
rgpwoaini 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	rgpwoaini 20 楼 kifastcall 不是内核模块中的？再就是如此明显的HOOK 任何 ark工具一搜就到 HOOK THREAD 就不公布源码了因为本人软件正使用中（商业版）可以给提示看thread结构之前网络上看到过关于这方面的介绍但没见到过源码不过网络上提供的思路是修改thread里面的 ssdt指针但是却缺少了最重要的一点就是kifastcall里面线程 ssdt指针与 shadow指针的转换很要命这点克服就可以OK了可以将整个kifastcall 逆向一下分析看看就会发现其实ssdt表的获取并非通过KeServiceDescriptorTable 此方法做到不修改任何内核原始数据并且可以指定某个进程线程的 SSDT恢复&HOOK 2011-11-28 17:16 0
luzhmu 雪币： 86 活跃值： (1043) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 21 楼我是绝对支持开源的，楼主，俺们支持你 2011-11-28 17:49 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 22 楼该方法在ROOTKIT.COM被人提及过，属于DKOM ,替换ETHREAD表里的SSDT表，思路不错，不过一样受到360hook的限制。 2011-11-28 18:55 0
rgpwoaini 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	rgpwoaini 23 楼嗯确实其实安全软件的控制仅限于没有进入内核之前如果可以的话只要木马或是黑客可以进入R0 那杀软的很多功能将会失效并且很轻易就可以kill掉。就比如绕ssdt 所以我感觉杀毒其实更应该叫做防毒软件因为病毒一旦能够进入，说明早已做好了充足准备尤其是能在杀毒软件开启的状态下其实想想那些每天挖漏洞过安软的牛人就由心的对其“孜孜不倦”的钻研精神佩服有加（不知道是不是完全的利益驱使） 2011-11-29 02:01 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 24 楼以前看代码的时候,也有过这种想法没想到的是真的可以实现啊佩服佩服 2011-11-29 03:59 0
yyqkxxy 雪币： 4558 活跃值： (1277) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	yyqkxxy 25 楼支持楼主。写得非常好 2011-11-29 05:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复