-
-
[原创]Hook KiFastCallEntry监控系统调用
-
发表于: 2011-12-21 19:33
-
这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。
这个程序是我本科毕设中的一部分,本来接下来还要从监控结果中提取行为序列去检测恶意代码,不过那部分实现比较挫,不好意思发了。
这个程序监控系统调用时可以创建新进程,也可以attach到已有进程,不过记录的内容很粗糙,不想细改了。
注意事项:
1、由于本程序在 Hook KiFastCallEntry 时和360安全卫士Hook了同一个地方,所以在装有360的电脑上会做一些特殊处理。这将导致本软件运行过程中360会暂时无效,关闭本软件后360恢复;
2、一年前写的了,只测试过xp,说不准在win7下会闹哪样,也说不准会跟别的安全软件有什么冲突,懒得测试了。
截图如下:
源码和bin都在附件中。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 好复杂的毕业设计
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不是好不好改的问题,我们的侧重点不一样……你貌似没明白我的想法哈……我只是在针对题目需求提出一个理想的解决方案,跟360根本没有关系。
这个地方的需求是“通过 Hook KiFastCallEntry 来监控系统调用”,在选择Hook点时,我发现这个Hook点具有以下几个特点: 1、刚好5字节,Hook很方便; 2、内核环境已经完成; 3、ebx指向SSDT或SSDT Shadow中对应的内核函数地址; 4、eax中存放了本次函数调用的功能号; 5、edi指向本次调用对应的系统服务描述表的基地址; 6、esi指向用户栈; 7、ecx/4是参数个数; 因为这些特点,我个人以为,在这个地方Hook是满足这个需求最自然简洁,也最理想的位置。 当然后来发现360勾了同一个地方,由于360装机量很大,怕答辩或演示时出现什么问题,所以才针对360改了改。但是它毕竟是跟我不相干的软件嘛,我觉得不应该为了它改变hook方案。 当然这也是仁者见仁智者见智的问题啦,你也可以觉得你的hook方案更好。 
|
|
|
|
|
|
这个点其实不太好,可以参考TsFltMgr.sys
|
|
|
thx!学习了!果断去研究下~
|
|
|
|
|
|
|
|
|
|
|
|
值得一看
|
|
|
|
|
|
|
|
|
路过来**,呵呵呵
|
|
|
|
|
|
mark... 学习。。
|
