[原创]Hide idt Hook By DrxHOOK-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Hide idt Hook By DrxHOOK

发表于: 2011-12-11 03:55 10327

[原创]Hide idt Hook By DrxHOOK

stoy

2011-12-11 03:55

10327

前段时间看了zhouws的hide idt hook src,突然以前自己也瞎搞了一个隐藏IDT HOOK的玩意,差不多快烂了,于是整理一下也发布出来.

原理:与zhouws不同, 这个主要Pass检测, DrX Hook + 代码流离

lkd> u KiTrap01
nt!KiTrap01:
8054311c 6a00          push 0
8054311e 66c74424020000  mov    word ptr [esp+2],0
80543125 55             push ebp
80543126 53             push ebx
80543127 56             push esi
80543128 57             push edi
80543129 0fa0          push fs
8054312b bb30000000    mov    ebx,30h

A为8054311e, B为80543125

首先在B处设Inline Hook,这里我使用int 0C7做代理跳转到NewDBEntryAB, 然后在A下读写硬件断点,注意读写跟执行硬件断点是分离

当A处被读取的时候,NewDBEntryAB会捉捕到,然后清除断点,还原INLINE HOOK,接着在A处设INLINE HOOK,在B处设读断点

同理,B处被读取的时候,A处Inline HOOK, B处读断点,这样循环执行,总的来说就是跟检测代码躲猫猫.

效果如下:

不过WINDBG u KiTrap01貌似没被PASS,代码正常运行,弄了好久都搞不明白,求指教

附上代码,环境VS2008,WinDDK 7600.16385.1
系统XP SP2

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

自检.jpg （221.20kb，430次下载）
UnPass.jpg （20.16kb，413次下载）
HideIDTHook.rar （11.45kb，164次下载）

收藏・13

免费・6

支持

最新回复 (10)
stoy 雪币： 137 活跃值： (450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 91 粉丝 0 关注私信	stoy 2 楼这个真难排版,忘了说了,由于没有处理多核CPU,测试环境要单核CPU上,多核CPU可以在msconfig设置成单CPU. 2011-12-11 04:11 0
网监张局雪币： 318 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 42 粉丝 1 关注私信	网监张局 1 3 楼你的思路非常不错 Test()成功的原因在于,你使用的是 memcpy , 触发了访问断点不过访问内存的方法非常多种,他们可能不会触发 int 1 的断点,这就是失败的原因 2011-12-11 04:42 0
stoy 雪币： 137 活跃值： (450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 91 粉丝 0 关注私信	stoy 4 楼一般检测也是一段内存一段内存Copy的, 而在我的了解之中,一个指令最多Copy 4个字节,那怕是 rep movs dword ptr es:[edi], dword ptr [esi]在读取断点后也会马上触int1 WinDBG u指令已经触发了int1,有打印信息出来,我把第一次触发就直接UnHook,U指令没检测到int 0C7,这让我百思不得其解 2011-12-11 05:02 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 5 楼顶礼膜拜九九大神 2011-12-11 11:24 0
wowocock 雪币： 405 活跃值： (2355) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 6 楼老掉牙的东西，记住DRX只能保护线性地址，不能保护物理地址。通过另外的线性地址，映射到同样的物理地址，就可无视你的 DRX，随意读写你保护的地址。 2011-12-11 13:11 0
wuaiwu 雪币： 922 活跃值： (2952) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 152 粉丝 68 关注私信	wuaiwu 3 7 楼指手画脚的来了。。就你厉害。。 2011-12-11 16:51 0
iforgiven 雪币： 80 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 8 楼 wowocock老牛被喷了。 2011-12-11 17:51 0
网监张局雪币： 318 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 42 粉丝 1 关注私信	网监张局 1 9 楼 wowocock确实是厉害的,说到的是实质问题 2011-12-11 17:56 0
zhouws 雪币： 3134 活跃值： (1279) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 7 关注私信	zhouws 2 10 楼人家放码就不错。楼主也说了是以前的。现在很多写代码安全更多是逻辑上的层次判断过滤了 2011-12-11 18:23 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 11 楼呵呵，支持下，放码的别的不说，精神可嘉。。。 2011-12-12 10:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

stoy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
stoy 雪币： 137 活跃值： (450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 91 粉丝 0 关注私信	stoy 2 楼这个真难排版,忘了说了,由于没有处理多核CPU,测试环境要单核CPU上,多核CPU可以在msconfig设置成单CPU. 2011-12-11 04:11 0
网监张局雪币： 318 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 42 粉丝 1 关注私信	网监张局 1 3 楼你的思路非常不错 Test()成功的原因在于,你使用的是 memcpy , 触发了访问断点不过访问内存的方法非常多种,他们可能不会触发 int 1 的断点,这就是失败的原因 2011-12-11 04:42 0
stoy 雪币： 137 活跃值： (450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 91 粉丝 0 关注私信	stoy 4 楼一般检测也是一段内存一段内存Copy的, 而在我的了解之中,一个指令最多Copy 4个字节,那怕是 rep movs dword ptr es:[edi], dword ptr [esi]在读取断点后也会马上触int1 WinDBG u指令已经触发了int1,有打印信息出来,我把第一次触发就直接UnHook,U指令没检测到int 0C7,这让我百思不得其解 2011-12-11 05:02 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 5 楼顶礼膜拜九九大神 2011-12-11 11:24 0
wowocock 雪币： 405 活跃值： (2355) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 6 楼老掉牙的东西，记住DRX只能保护线性地址，不能保护物理地址。通过另外的线性地址，映射到同样的物理地址，就可无视你的 DRX，随意读写你保护的地址。 2011-12-11 13:11 0
wuaiwu 雪币： 922 活跃值： (2952) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 152 粉丝 68 关注私信	wuaiwu 3 7 楼指手画脚的来了。。就你厉害。。 2011-12-11 16:51 0
iforgiven 雪币： 80 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 109 粉丝 0 关注私信	iforgiven 8 楼 wowocock老牛被喷了。 2011-12-11 17:51 0
网监张局雪币： 318 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 42 粉丝 1 关注私信	网监张局 1 9 楼 wowocock确实是厉害的,说到的是实质问题 2011-12-11 17:56 0
zhouws 雪币： 3134 活跃值： (1279) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 7 关注私信	zhouws 2 10 楼人家放码就不错。楼主也说了是以前的。现在很多写代码安全更多是逻辑上的层次判断过滤了 2011-12-11 18:23 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 11 楼呵呵，支持下，放码的别的不说，精神可嘉。。。 2011-12-12 10:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复