[原创]物理HOOK-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]物理HOOK

发表于: 2012-7-8 16:04 35370

[原创]物理HOOK

半斤八兩

2012-7-8 16:04

35370

查看主题内容

收藏・36

免费・0

支持

最新回复 (69) ◀ 1 2 3 ▶
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 26 楼这个就是3L,说的 SSDK HOOK技术吧? 2012-7-8 20:01 0
Layz 雪币： 1141 活跃值： (789) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Layz 27 楼我只是说了我遇到的情况这观念应该不是完全正确的希望有其他人可以补充一下 2012-7-8 20:01 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 28 楼是不是可以这样理解： 1：如果cr0保护关闭了，那就是没保护，od可以直接修改，并对所有造成影响。 2：如果cr0保护开启了，那就是有保护，不允许对代码写，但是OD又要对代码写，这时触发写入复制（COW），因为OD是attach到某进程空间的，那么OD改的就是复制的了，所以不会对其他造成影响。可以测试一下，如8楼，如果两者改的位置是一致的，那么就是情况1，如果是情况2，那么两者修改的地址应该是不同的。。坐等大牛 2012-7-8 20:04 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 29 楼应该像24L说的那样吧. 系统只LOAD一次, 之所以我操作能修改本体(非COW),是因为我直接.process -i processid 切换cr3 后,就可以对本体操作. 这样就会影响所有的未来的 COW. 如果是直接在要修改的进程中断下来,直接修改物理地址,那么修改的就是 COW(引用计数) 希望哪位大侠能指点一下. 2012-7-8 20:11 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 30 楼我猜想,应该是这样的, 上传的附件：未命名.jpg （111.67kb，4次下载） 2012-7-8 20:35 0
HOWMP 雪币： 2829 活跃值： (2633) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 31 楼学习了，字数补丁 2012-7-8 21:02 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 32 楼这些问题貌似很多关于系统底层的书都有介绍的吧……COW机制…… 2012-7-8 21:19 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 33 楼内容很丰富，值得学习一下 2012-7-8 21:30 0
wyufei 雪币： 2700 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	wyufei 34 楼谢谢哥们了养眼啊 2012-7-8 21:33 0
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 35 楼跟SSDT HOOK有什么关系？一个是替换系统调用表一个是修改物理内存，貌似没什么关系吧 2012-7-8 21:40 0
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 36 楼因为你没修改PTE中涉及COW的位，你是直接获取的物理内存地址进行的修改。 COW是保护虚拟内存页面的，这里指的是虚拟内存指向的数据，修改被保护的页面会触发页异常，系统再给你分配一块物理内存，把原来的内容Copy过来，修改新物理内存页面内对应的代码，然后再MAP到你修改的地址上去。这就是写时复制机制。我不知道你想表达什么意思。COW是由PTE中相关的位项控制的，如果对某地址禁用COW，写入的数据是直接写入到物理内存的。 2012-7-8 21:48 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 37 楼为什么你们都要说"字数补丁" "XX补丁" ??? 我不理解 2012-7-8 21:49 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 38 楼我是新人,好多东西还没学呢,向前辈们学习. 2012-7-8 21:50 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 39 楼 1> 一般的Dll, 重复加载的时候只是增加引用计数 -- 这个解释所有的API在不换系统不重启的时候,在不同进程是同一逻辑地址.... 2> 但是, 如果你修改了Dll, 那么系统就会将修改的部分拷贝一份. 所以你在三环下挂Api钩子, 只影响本进程.(即楼上有人说的COW技术) 3> 楼主从逻辑地址, 找到了物理地址, 然后直接修改物理地址, 那么系统就不会有上述所言的"2>"的过程... 于是乎对系统造成的影响就 "跨进程"了... 楼主winDbg用得很熟练, 学习了`~~ 感谢楼主分享. ~~~ 2012-7-8 21:53 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 40 楼 murrackde 大侠你好. 你所说的 PTE 中的 COW 位. 我不知道你说的 COW 位是在第几位? 能指点一下吗? PTE: 31 21 11 10 9 8 7 6 5 4 3 2 1 0 ------------------------------------------------------------------------------------ Page Base 系统使用 G P D A P P U R P A C W / / T D T S W 2012-7-8 22:00 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 41 楼我等下录一份视频. 2012-7-8 22:09 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 42 楼 . . 太好了~ , , 像期待米国大片一样期待 ing.... , 2012-7-8 22:12 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 43 楼宿舍的网速不给力... 物理HOOK演示视频.txt 上传的附件：物理HOOK演示视频.txt （0.04kb，124次下载） 2012-7-8 23:37 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 44 楼 [QUOTE=半斤八兩;1085831]宿舍的网速不给力... 物理HOOK演示视频.txt[/QUOTE] 哎我太没眼力了.. 原来是顺哥啊....哈哈` 2012-7-10 10:26 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 45 楼这是灌水专用语句哈哈。 2012-7-10 11:04 0
sdlao 雪币： 308 活跃值： (67) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 18 粉丝 1 关注私信	sdlao 2 46 楼 Copy On Write 2012-7-10 13:07 0
flyboyfeng 雪币： 131 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	flyboyfeng 47 楼不错的文章哦 2012-7-15 07:47 0
xiaoboshi 雪币： 176 活跃值： (206) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xiaoboshi 48 楼由于直接修改物理内存，绕过了写时拷贝的机制，达到了全局hook的效果。 2012-7-16 11:44 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 49 楼想请教一下,像这样的HOOK,有没有什么术语? 2012-7-17 01:12 0
ligung 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	ligung 50 楼昨天刚看过dll相关内容，dll的特性之一：节省内存。就是说不管多少个进程同时使用它，他在物理内存中只加载一份，看到这里估计你就明白了吧，楼主很强大你直接找到他的物理地址修改了物理内存的数据，那么所有映射到这个物理地址的虚拟地址上的数据就全变了，物理地址和虚拟地址是1对多的关系哦！！！！ 2012-8-5 11:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

半斤八兩

发帖

610

回帖

520

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (69) ◀ 1 2 3 ▶
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 26 楼这个就是3L,说的 SSDK HOOK技术吧? 2012-7-8 20:01 0
Layz 雪币： 1141 活跃值： (789) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	Layz 27 楼我只是说了我遇到的情况这观念应该不是完全正确的希望有其他人可以补充一下 2012-7-8 20:01 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 28 楼是不是可以这样理解： 1：如果cr0保护关闭了，那就是没保护，od可以直接修改，并对所有造成影响。 2：如果cr0保护开启了，那就是有保护，不允许对代码写，但是OD又要对代码写，这时触发写入复制（COW），因为OD是attach到某进程空间的，那么OD改的就是复制的了，所以不会对其他造成影响。可以测试一下，如8楼，如果两者改的位置是一致的，那么就是情况1，如果是情况2，那么两者修改的地址应该是不同的。。坐等大牛 2012-7-8 20:04 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 29 楼应该像24L说的那样吧. 系统只LOAD一次, 之所以我操作能修改本体(非COW),是因为我直接.process -i processid 切换cr3 后,就可以对本体操作. 这样就会影响所有的未来的 COW. 如果是直接在要修改的进程中断下来,直接修改物理地址,那么修改的就是 COW(引用计数) 希望哪位大侠能指点一下. 2012-7-8 20:11 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 30 楼我猜想,应该是这样的, 上传的附件：未命名.jpg （111.67kb，4次下载） 2012-7-8 20:35 0
HOWMP 雪币： 2829 活跃值： (2633) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 31 楼学习了，字数补丁 2012-7-8 21:02 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 32 楼这些问题貌似很多关于系统底层的书都有介绍的吧……COW机制…… 2012-7-8 21:19 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 33 楼内容很丰富，值得学习一下 2012-7-8 21:30 0
wyufei 雪币： 2700 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	wyufei 34 楼谢谢哥们了养眼啊 2012-7-8 21:33 0
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 35 楼跟SSDT HOOK有什么关系？一个是替换系统调用表一个是修改物理内存，貌似没什么关系吧 2012-7-8 21:40 0
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 36 楼因为你没修改PTE中涉及COW的位，你是直接获取的物理内存地址进行的修改。 COW是保护虚拟内存页面的，这里指的是虚拟内存指向的数据，修改被保护的页面会触发页异常，系统再给你分配一块物理内存，把原来的内容Copy过来，修改新物理内存页面内对应的代码，然后再MAP到你修改的地址上去。这就是写时复制机制。我不知道你想表达什么意思。COW是由PTE中相关的位项控制的，如果对某地址禁用COW，写入的数据是直接写入到物理内存的。 2012-7-8 21:48 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 37 楼为什么你们都要说"字数补丁" "XX补丁" ??? 我不理解 2012-7-8 21:49 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 38 楼我是新人,好多东西还没学呢,向前辈们学习. 2012-7-8 21:50 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 39 楼 1> 一般的Dll, 重复加载的时候只是增加引用计数 -- 这个解释所有的API在不换系统不重启的时候,在不同进程是同一逻辑地址.... 2> 但是, 如果你修改了Dll, 那么系统就会将修改的部分拷贝一份. 所以你在三环下挂Api钩子, 只影响本进程.(即楼上有人说的COW技术) 3> 楼主从逻辑地址, 找到了物理地址, 然后直接修改物理地址, 那么系统就不会有上述所言的"2>"的过程... 于是乎对系统造成的影响就 "跨进程"了... 楼主winDbg用得很熟练, 学习了`~~ 感谢楼主分享. ~~~ 2012-7-8 21:53 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 40 楼 murrackde 大侠你好. 你所说的 PTE 中的 COW 位. 我不知道你说的 COW 位是在第几位? 能指点一下吗? PTE: 31 21 11 10 9 8 7 6 5 4 3 2 1 0 ------------------------------------------------------------------------------------ Page Base 系统使用 G P D A P P U R P A C W / / T D T S W 2012-7-8 22:00 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 41 楼我等下录一份视频. 2012-7-8 22:09 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 42 楼 . . 太好了~ , , 像期待米国大片一样期待 ing.... , 2012-7-8 22:12 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 43 楼宿舍的网速不给力... 物理HOOK演示视频.txt 上传的附件：物理HOOK演示视频.txt （0.04kb，124次下载） 2012-7-8 23:37 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 44 楼 [QUOTE=半斤八兩;1085831]宿舍的网速不给力... 物理HOOK演示视频.txt[/QUOTE] 哎我太没眼力了.. 原来是顺哥啊....哈哈` 2012-7-10 10:26 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 45 楼这是灌水专用语句哈哈。 2012-7-10 11:04 0
sdlao 雪币： 308 活跃值： (67) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 18 粉丝 1 关注私信	sdlao 2 46 楼 Copy On Write 2012-7-10 13:07 0
flyboyfeng 雪币： 131 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	flyboyfeng 47 楼不错的文章哦 2012-7-15 07:47 0
xiaoboshi 雪币： 176 活跃值： (206) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xiaoboshi 48 楼由于直接修改物理内存，绕过了写时拷贝的机制，达到了全局hook的效果。 2012-7-16 11:44 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 49 楼想请教一下,像这样的HOOK,有没有什么术语? 2012-7-17 01:12 0
ligung 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	ligung 50 楼昨天刚看过dll相关内容，dll的特性之一：节省内存。就是说不管多少个进程同时使用它，他在物理内存中只加载一份，看到这里估计你就明白了吧，楼主很强大你直接找到他的物理地址修改了物理内存的数据，那么所有映射到这个物理地址的虚拟地址上的数据就全变了，物理地址和虚拟地址是1对多的关系哦！！！！ 2012-8-5 11:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复