[原创]win7 x64位通过修改ImagePathName绕过HS部分kernel Hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]win7 x64位通过修改ImagePathName绕过HS部分kernel Hook

发表于: 2012-9-27 14:43 19723

[原创]win7 x64位通过修改ImagePathName绕过HS部分kernel Hook

ruoko

2012-9-27 14:43

19723

//For x64****************************************************
wchar_t* x64_ImagePath = L"C:\\Windows\\system32\\winlogon.exe";  //利用伪装成winlogon.exe躲避HS Inline hook的拦截过滤。
int _tmain(int argc, _TCHAR* argv[])
{
	int a = NULL;
	__asm{
		mov eax,dword ptr fs:[0x30] 
		add eax,0x1000 //x64
		mov eax,[eax+0x020]  
		add eax,0x060 
		add eax,0x8 //x64下对_UNICODE_STRING进行了拓展，+0x002 MaximumLength    : Uint2B后仍有4个字节的空白
		mov ebx,[x64_ImagePath] 
		mov [eax],ebx //fake
		mov [a],eax 
	}
	getchar();
	return 0;
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#软件保护

收藏・29

免费・6

支持

最新回复 (24)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼谢谢分享！ 2012-9-27 15:16 0
高级小白雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	高级小白 3 楼支持一下，学习了 2012-9-27 19:05 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 4 楼你这个的话，只对那些用时从PEB取img路径的弱智hips有效。。。。但实际上。。。很多hips包括杀软，是在你的进程正式运行前，就获取到了路径并保存下来，以后仅仅根据pid查路径你这样做就没用了 2012-9-27 21:16 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 5 楼 PID也可以伪装。 2012-9-27 21:39 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 6 楼不许上驱动你伪装给我看看……楼主的例子是不需要驱动的……你都有驱动了……还用得着伪装吗……直接干掉杀软什么的，还有啥是不可以的？ 2012-9-28 07:16 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 7 楼还有，我说楼主，能不能不搞那么高深啊？简单几句c代码就能搞定的，还非得n行asm……貌似大家都觉得asm更高深些似的…… 2012-9-28 07:19 0
wjuid 雪币： 36 活跃值： (45) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	wjuid 8 楼嵌入汇编还不如直接汇编，要不C也成，不过还是ASM好理解点。 2012-9-28 11:11 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 9 楼我这个帖子只是针对HS保护有效。不提到其它的。 2012-9-28 11:42 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 10 楼难道还要贴出整个PEB结构，这样的写法已经很简单了。大家都看得懂。 2012-9-28 11:43 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 11 楼现在的观众火气何必这么大呢反正是个技术共享有兴趣就讨论下没兴趣就算了么你不喜欢别人未必无用总不至于说这地盘是你的发些有点小瑕疵的帖子就要打压？ 2012-9-28 12:01 0
泰国老大雪币： 351 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	泰国老大 12 楼不带换行的简单的一句代码搞定，为什么要搞N行C的？别人只是发个例子，非要符合你味口才点头啊。 2012-9-28 13:01 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼哈哈，用汇编感觉是要良好些。至少可以促使不懂汇编的去学习。 2012-9-28 14:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 14 楼 Win7 x64 HS内核无hook吧~最多就几个callback... 2012-9-28 15:38 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 15 楼只是看到太多人连 a=123; b=456; x=a+b; 这样的代码都得搞asm秀一下。。。。而且又不全是汇编。。仅仅对一小段类似这样的代码asm一下而已这个看到我就想打人 2012-9-28 17:03 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 16 楼 V大。。。。膜拜，win7 64我用不了Xuetr 2012-9-28 17:10 0
showhuman 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	showhuman 17 楼代码是用来bypass游戏保护的,不是用来Anti杀软的.想怎么写是每个人的权利,你JJYY半天,是想告诉别人你的眼光高人一等？ NB的话,你也放代码就行了,何必言语措辞间藐视他人？你看不惯,你可以不看，看与不看也是每个人的权利.“你看到就想打人”这句话,可见你之素质. 2012-9-28 23:34 0
yaneng 雪币： 76 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 135 粉丝 0 关注私信	yaneng 18 楼支持共享，别人辛苦弄出来的东西，免费给你看，你还挑三拣四的，爱看不看没有要你看的啊！~ 2012-9-29 17:45 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 19 楼人家是过保护,跟pass杀软件有毛关系啊 2012-9-30 05:33 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 20 楼又是这样的评论，以为加载了驱动就万能无敌啊？？？ “还用得着伪装吗……直接干掉杀软什么的" 肯定没有写过实战类的XXXXXXXX。 2012-10-17 11:48 0
gamefox 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 0 关注私信	gamefox 21 楼只有你才认为他在秀ASM，ASM是一种语言，为什么不能用？你的回复让人火大 2012-10-30 08:26 0
Reversal 雪币： 16 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 68 粉丝 0 关注私信	Reversal 22 楼只能说7楼是个2B，人家爱用啥语言就用啥语言谢谢楼主分享 2012-10-30 23:59 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 23 楼 7楼不止是2B，还带**，估计连楼主的内容都没看完就开喷，楼主明明说的HS。 2012-10-31 01:07 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 24 楼 ruoko不是我的号码么.. 2012-11-3 12:09 0
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 25 楼不会asm，没多大造诣，没文化，要学会谦虚，自大很简单，并没多少技术含量程序员到csdn，看雪是搞底层的，请先理清你的思路按理说，某人不爱asm，那你怎么知道hs的，hs难道是开源的？笑话，挫B一个，找喷。 2012-11-3 12:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ruoko

发帖

226

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼谢谢分享！ 2012-9-27 15:16 0
高级小白雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	高级小白 3 楼支持一下，学习了 2012-9-27 19:05 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 4 楼你这个的话，只对那些用时从PEB取img路径的弱智hips有效。。。。但实际上。。。很多hips包括杀软，是在你的进程正式运行前，就获取到了路径并保存下来，以后仅仅根据pid查路径你这样做就没用了 2012-9-27 21:16 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 5 楼 PID也可以伪装。 2012-9-27 21:39 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 6 楼不许上驱动你伪装给我看看……楼主的例子是不需要驱动的……你都有驱动了……还用得着伪装吗……直接干掉杀软什么的，还有啥是不可以的？ 2012-9-28 07:16 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 7 楼还有，我说楼主，能不能不搞那么高深啊？简单几句c代码就能搞定的，还非得n行asm……貌似大家都觉得asm更高深些似的…… 2012-9-28 07:19 0
wjuid 雪币： 36 活跃值： (45) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 35 粉丝 0 关注私信	wjuid 8 楼嵌入汇编还不如直接汇编，要不C也成，不过还是ASM好理解点。 2012-9-28 11:11 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 9 楼我这个帖子只是针对HS保护有效。不提到其它的。 2012-9-28 11:42 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 10 楼难道还要贴出整个PEB结构，这样的写法已经很简单了。大家都看得懂。 2012-9-28 11:43 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 11 楼现在的观众火气何必这么大呢反正是个技术共享有兴趣就讨论下没兴趣就算了么你不喜欢别人未必无用总不至于说这地盘是你的发些有点小瑕疵的帖子就要打压？ 2012-9-28 12:01 0
泰国老大雪币： 351 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	泰国老大 12 楼不带换行的简单的一句代码搞定，为什么要搞N行C的？别人只是发个例子，非要符合你味口才点头啊。 2012-9-28 13:01 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼哈哈，用汇编感觉是要良好些。至少可以促使不懂汇编的去学习。 2012-9-28 14:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 14 楼 Win7 x64 HS内核无hook吧~最多就几个callback... 2012-9-28 15:38 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 15 楼只是看到太多人连 a=123; b=456; x=a+b; 这样的代码都得搞asm秀一下。。。。而且又不全是汇编。。仅仅对一小段类似这样的代码asm一下而已这个看到我就想打人 2012-9-28 17:03 0
ruoko 雪币： 122 活跃值： (72) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 226 粉丝 0 关注私信	ruoko 16 楼 V大。。。。膜拜，win7 64我用不了Xuetr 2012-9-28 17:10 0
showhuman 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	showhuman 17 楼代码是用来bypass游戏保护的,不是用来Anti杀软的.想怎么写是每个人的权利,你JJYY半天,是想告诉别人你的眼光高人一等？ NB的话,你也放代码就行了,何必言语措辞间藐视他人？你看不惯,你可以不看，看与不看也是每个人的权利.“你看到就想打人”这句话,可见你之素质. 2012-9-28 23:34 0
yaneng 雪币： 76 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 135 粉丝 0 关注私信	yaneng 18 楼支持共享，别人辛苦弄出来的东西，免费给你看，你还挑三拣四的，爱看不看没有要你看的啊！~ 2012-9-29 17:45 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 19 楼人家是过保护,跟pass杀软件有毛关系啊 2012-9-30 05:33 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 20 楼又是这样的评论，以为加载了驱动就万能无敌啊？？？ “还用得着伪装吗……直接干掉杀软什么的" 肯定没有写过实战类的XXXXXXXX。 2012-10-17 11:48 0
gamefox 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 0 关注私信	gamefox 21 楼只有你才认为他在秀ASM，ASM是一种语言，为什么不能用？你的回复让人火大 2012-10-30 08:26 0
Reversal 雪币： 16 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 68 粉丝 0 关注私信	Reversal 22 楼只能说7楼是个2B，人家爱用啥语言就用啥语言谢谢楼主分享 2012-10-30 23:59 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 23 楼 7楼不止是2B，还带**，估计连楼主的内容都没看完就开喷，楼主明明说的HS。 2012-10-31 01:07 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 24 楼 ruoko不是我的号码么.. 2012-11-3 12:09 0
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 25 楼不会asm，没多大造诣，没文化，要学会谦虚，自大很简单，并没多少技术含量程序员到csdn，看雪是搞底层的，请先理清你的思路按理说，某人不爱asm，那你怎么知道hs的，hs难道是开源的？笑话，挫B一个，找喷。 2012-11-3 12:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复