[原创]windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360的hook)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360的hook)

发表于: 2012-4-6 10:04 23327

[原创]windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360的hook)

basketwill 活跃值

2012-4-6 10:04

23327

我们先看下hook  kiFastCallentry 点的汇编代码：

winXp：

FF05 38060000  inc dword ptr [638]
80542656  8BF2  mov esi, edx
80542658  8B5F 0C  mov ebx, dword ptr [edi+C]
8054265B  33C9  xor ecx, ecx
8054265D  8A0C18  mov cl, byte ptr [eax+ebx]
80542660  8B3F  mov edi, dword ptr [edi]
80542662  8B1C87  mov ebx, dword ptr [edi+eax*4]
80542665  2BE1  sub esp, ecx
80542667  C1E9 02  shr ecx, 2
8054266A  8BFC  mov edi, esp
8054266C  3B35 34315680  cmp esi, dword ptr [80563134]
80542672  0F83 A8010000  jnc 80542820
80542678  F3:A5  rep(e) movsw/d  dword ptr es:esi, es:edi
8054267A  FFD3  call ebx

红色显示的是kiFastCallEntry函数内  调用 ssdt或者shadow ssdt的过程，eax是调用号，ebx是调用的函数地址edi是ssdt 或者shadow SSDT表的地址，以上是XP的

win7:

mov edx, dword ptr [edi+C]
mov edi, dword ptr [edi]
mov cl, byte ptr [eax+edx]
mov edx, dword ptr [edi+eax*4]
sub esp, ecxshr ecx, 2
mov edi, esp
cmp esi, dword ptr [8418584C]
jnb 8405A3F5
rep movs dword ptr es:[edi], dword ptr [esi]
test byte ptr [ebp+6C], 1
je short 8405A1E5
mov ecx, dword ptr fs:[124]
mov edi, dword ptr [esp]
mov dword ptr [ecx+13C], ebx
mov dword ptr [ecx+12C], edi
mov ebx, edx
test byte ptr [84152688], 40
setne byte ptr [ebp+12]
jne 8405A584
call ebx

红色显示的是kiFastCallEntry函数内  调用 ssdt或者shadow ssdt的过程，eax是调用号，edx是调用的函数地址edi是ssdt 或者shadow SSDT表的地址，以上是win7的

可以看到 winXp和win7 最后都是通过call ebx来调用函数，只是winXP 前面直接把地址给ebx,而win7是先把地址给edx，后面再把edx给ebx,所以但是他们都有相同的特征码

80542665  2BE1  sub esp, ecx
80542667  C1E9 02  shr ecx, 2
8054266A  8BFC  mov edi, esp

所以在Hook KiFastCallEntry时可以搜索相同的特征码，然后在返回过滤ssdt  或者shadow ssdt函数时，处理不同的寄存器，

在驱动初始化的时候或者KiFastCallEntry的地址后，搜索以上特征码，然后在判断这里是 ebx 还是 edx,然后就可以动态的返回ebx还是edx 地址

1.初始判断

if ( dwCallType == 0x1C8B )
{
pSysCallFilterInfo->FastCallType = FAST_CALL_EBX;
}
else if ( dwCallType == 0x148B  )
{
pSysCallFilterInfo->FastCallType = FAST_CALL_EDX;
}

2.Hook filter 动态处理

#pragma LOCKEDCODE

__declspec(naked) NTSTATUS FakeKiFastCallEntry(VOID)
{
__asm{
  pop esi
  pushfd
  pushad

  mov    ecx,dword ptr [pSysCallFilterInfo]
cmp    dword ptr [ecx + 29h],FAST_CALL_EBX //如果是ebx则  jne    _fun2

//ebx的情况
  push edi
  push ebx
  push eax

  mov esi,0x12345678 //特征码驱动初始化时修改为自己的过滤函数
  call esi   mov  dword ptr [esp+10h],eax
  jmp  _exit
_fun2:
  mov    ecx,dword ptr [pSysCallFilterInfo]
cmp    dword ptr [ecx + 29h],FAST_CALL_EDX //edx的情况  jne    _exit

  push edi
  push edx
  push eax

mov esi,0x12345678  //特征码驱动初始化时修改为自己的过滤函数
  call esi
  mov  dword ptr [esp+14h],eax  //把过滤所得的值付给edx,注意这里要改成esp + 0x14/**********************************************************
/*知识点:PUSHAD指令压入32位寄存器，使他们按照EDI,ESI,EBP,ESP,EBX,EDX,ECX,最后是EAX的顺序出现在堆栈中。
/*很多人不明白此处看知识点可以知道edx保存在在esp + 0x14的地址 0x14 = 20 相当 5个dword ,call esi 前面5 个
寄存器EDI,ESI,EBP,ESP,EBX  所以是 esp + 0x14就改变了pushad中的edx值 ,一边后来popad恢复到edx中从而改变
ssdt的调用函数地址，因此推论前面改变ebx值是esp + 0x10，而此处改变ebx值是esp + 0x14
/********************************************************************
_exit:
  popad
  popfd
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
push g_ulRetEntry//返回点  retn
  __emit 0xCC
  __emit 0xCC
  __emit 0xCC
  __emit 0xCC
}

}

以上处理适合在winXp win7中

【注意了】
不好意思，我没写清楚。
靠我刚才发现还没过几个月360的hookport的 hook kiFatscall 点又变了，这个是几个月前写的，现在的360 hook又变了，占了我几个月前的位置

红色显示的是现在 360的位置，以前360是在这个位置的上面。几个月就变了，地址二进制汇编
80542656 8BF2 mov esi, edx
80542658 8B5F 0C mov ebx, dword ptr [edi+C]
8054265B 33C9 xor ecx, ecx
8054265D 8A0C18 mov cl, byte ptr [eax+ebx]
80542660 8B3F mov edi, dword ptr [edi]
80542662 8B1C87 mov ebx, dword ptr [edi+eax*4]
80542665 E9 2638B40A jmp 8B085E90
8054266A 8BFC mov edi, esp
8054266C 3B35 34315680 cmp esi, dword ptr [80563134]
80542672 0F83 A8010000 jnc 80542820
80542678 F3:A5 rep(e) movsw/d dword ptr es:esi, es:edi
8054267A FFD3 call ebx
8054267C 8BE5 mov esp, ebp
8054267E 64:8B0D 24010000 mov ecx, dword ptr fs:[124]
80542685 8B55 3C mov edx, dword ptr [ebp+3C]
80542688 8991 34010000 mov dword ptr [ecx+134], edx
8054268E FA cli
8054268F F745 70 00000200 test dword ptr [ebp+70], 20000
80542696 75 06 jne 8054269E
80542698 F645 6C 01 test byte ptr [ebp+6C], 1
8054269C 74 56 je 805426F4
8054269E 64:8B1D 24010000 mov ebx, dword ptr fs:[124]
805426A5 C643 2E 00 mov byte ptr [ebx+2E], 0
805426A9 807B 4A 00 cmp byte ptr [ebx+4A], 0
805426AD 74 45 je 805426F4
805426AF 8BDD mov ebx, ebp

该死的360，估计是几个月前把我的驱动上传分析了,我这个文章在别处发表了很长时间了，要么就是360看到了文章后来改了hook点了，把我的位置占掉了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

DemoHookKiFastCall.rar （59.04kb，388次下载）

收藏・48

免费・6

支持

最新回复 (17)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 2 楼都被360“带坏”了。 2012-4-6 10:44 0
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 3 楼 360也成就一部分人啊！！朋友 2012-4-6 10:56 0
Crakme 雪币： 2190 活跃值： (981) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 4 楼没看出和360有啥关系 2012-4-6 12:52 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 5 楼不好意思，我没写清楚。靠我刚才发现还没过几个月360的hookport的 hook kiFatscall 点又变了，这个是几个月前写的，现在的360 hook又变了，占了我几个月前的位置红色显示的是现在 360的位置，以前360是在这个位置的上面。几个月就变了，地址二进制汇编 80542656 8BF2 mov esi, edx 80542658 8B5F 0C mov ebx, dword ptr [edi+C] 8054265B 33C9 xor ecx, ecx 8054265D 8A0C18 mov cl, byte ptr [eax+ebx] 80542660 8B3F mov edi, dword ptr [edi] 80542662 8B1C87 mov ebx, dword ptr [edi+eax*4] 80542665 E9 2638B40A jmp 8B085E90 8054266A 8BFC mov edi, esp 8054266C 3B35 34315680 cmp esi, dword ptr [80563134] 80542672 0F83 A8010000 jnc 80542820 80542678 F3:A5 rep(e) movsw/d dword ptr es:esi, es:edi 8054267A FFD3 call ebx 8054267C 8BE5 mov esp, ebp 8054267E 64:8B0D 24010000 mov ecx, dword ptr fs:[124] 80542685 8B55 3C mov edx, dword ptr [ebp+3C] 80542688 8991 34010000 mov dword ptr [ecx+134], edx 8054268E FA cli 8054268F F745 70 00000200 test dword ptr [ebp+70], 20000 80542696 75 06 jne 8054269E 80542698 F645 6C 01 test byte ptr [ebp+6C], 1 8054269C 74 56 je 805426F4 8054269E 64:8B1D 24010000 mov ebx, dword ptr fs:[124] 805426A5 C643 2E 00 mov byte ptr [ebx+2E], 0 805426A9 807B 4A 00 cmp byte ptr [ebx+4A], 0 805426AD 74 45 je 805426F4 805426AF 8BDD mov ebx, ebp 该死的360，估计是几个月前把我的驱动上传分析了,我这个文章在别处发表了很长时间了，要么就是360看到了文章后来改了hook点了，把我的位置占掉了 2012-4-6 14:35 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 6 楼看得出，发贴的和回贴的都很无聊，包括我 2012-4-6 14:47 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 7 楼分析不错，但是360那些事早就不关心了 2012-4-6 17:24 0
爱你的X 雪币： 247 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 9 粉丝 1 关注私信	爱你的X 1 8 楼欢迎分析下 3600safe的kifastcallentry的hook，www.3600safe.com/3600safe0.2.1.rar 2012-4-6 19:01 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 9 楼很有用啊谢谢啦 2012-4-6 22:16 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 10 楼文章不错，支持下！ 2012-4-7 10:17 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼 inline hook 2012-4-9 15:53 0
icezy 雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	icezy 12 楼搞来搞去，还是在这个函数PATCH，没啥意思。 2012-4-10 23:27 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 13 楼楼主很强，向楼主学习了 2012-4-11 09:20 0
hnzcyjszc 雪币： 191 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 95 粉丝 0 关注私信	hnzcyjszc 14 楼哥们你其实可以用 drx 把360的HOOK给PASS了轻松简单无需要为那么几个字节发什么愁 2012-4-20 10:50 0
seny 雪币： 227 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 71 粉丝 0 关注私信	seny 15 楼大牛。。还请说说怎么个轻松绕过法啊？？动不动就给报警，，都加载不了。 2012-11-8 16:52 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 16 楼 mark 2013-9-18 14:03 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 17 楼 mark 2014-5-30 10:42 0
niuzuoquan 雪币： 310 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 18 楼 mark 2017-12-4 08:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

basketwill

发帖

166

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 2 楼都被360“带坏”了。 2012-4-6 10:44 0
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 3 楼 360也成就一部分人啊！！朋友 2012-4-6 10:56 0
Crakme 雪币： 2190 活跃值： (981) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 4 楼没看出和360有啥关系 2012-4-6 12:52 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 5 楼不好意思，我没写清楚。靠我刚才发现还没过几个月360的hookport的 hook kiFatscall 点又变了，这个是几个月前写的，现在的360 hook又变了，占了我几个月前的位置红色显示的是现在 360的位置，以前360是在这个位置的上面。几个月就变了，地址二进制汇编 80542656 8BF2 mov esi, edx 80542658 8B5F 0C mov ebx, dword ptr [edi+C] 8054265B 33C9 xor ecx, ecx 8054265D 8A0C18 mov cl, byte ptr [eax+ebx] 80542660 8B3F mov edi, dword ptr [edi] 80542662 8B1C87 mov ebx, dword ptr [edi+eax*4] 80542665 E9 2638B40A jmp 8B085E90 8054266A 8BFC mov edi, esp 8054266C 3B35 34315680 cmp esi, dword ptr [80563134] 80542672 0F83 A8010000 jnc 80542820 80542678 F3:A5 rep(e) movsw/d dword ptr es:esi, es:edi 8054267A FFD3 call ebx 8054267C 8BE5 mov esp, ebp 8054267E 64:8B0D 24010000 mov ecx, dword ptr fs:[124] 80542685 8B55 3C mov edx, dword ptr [ebp+3C] 80542688 8991 34010000 mov dword ptr [ecx+134], edx 8054268E FA cli 8054268F F745 70 00000200 test dword ptr [ebp+70], 20000 80542696 75 06 jne 8054269E 80542698 F645 6C 01 test byte ptr [ebp+6C], 1 8054269C 74 56 je 805426F4 8054269E 64:8B1D 24010000 mov ebx, dword ptr fs:[124] 805426A5 C643 2E 00 mov byte ptr [ebx+2E], 0 805426A9 807B 4A 00 cmp byte ptr [ebx+4A], 0 805426AD 74 45 je 805426F4 805426AF 8BDD mov ebx, ebp 该死的360，估计是几个月前把我的驱动上传分析了,我这个文章在别处发表了很长时间了，要么就是360看到了文章后来改了hook点了，把我的位置占掉了 2012-4-6 14:35 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 6 楼看得出，发贴的和回贴的都很无聊，包括我 2012-4-6 14:47 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 7 楼分析不错，但是360那些事早就不关心了 2012-4-6 17:24 0
爱你的X 雪币： 247 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 9 粉丝 1 关注私信	爱你的X 1 8 楼欢迎分析下 3600safe的kifastcallentry的hook，www.3600safe.com/3600safe0.2.1.rar 2012-4-6 19:01 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 9 楼很有用啊谢谢啦 2012-4-6 22:16 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 10 楼文章不错，支持下！ 2012-4-7 10:17 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼 inline hook 2012-4-9 15:53 0
icezy 雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	icezy 12 楼搞来搞去，还是在这个函数PATCH，没啥意思。 2012-4-10 23:27 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 13 楼楼主很强，向楼主学习了 2012-4-11 09:20 0
hnzcyjszc 雪币： 191 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 95 粉丝 0 关注私信	hnzcyjszc 14 楼哥们你其实可以用 drx 把360的HOOK给PASS了轻松简单无需要为那么几个字节发什么愁 2012-4-20 10:50 0
seny 雪币： 227 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 71 粉丝 0 关注私信	seny 15 楼大牛。。还请说说怎么个轻松绕过法啊？？动不动就给报警，，都加载不了。 2012-11-8 16:52 0
wodexinren 雪币： 74 活跃值： (703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 16 楼 mark 2013-9-18 14:03 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 17 楼 mark 2014-5-30 10:42 0
niuzuoquan 雪币： 310 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 18 楼 mark 2017-12-4 08:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复