-
-
[原创]win7 x64位通过修改ImagePathName绕过HS部分kernel Hook
-
2012-9-27 14:43
-
前阵子很流行用这个绕hs的inline hook,但是发现都是32位的,大家又都不肯自己动手,64位下一直没有可用的代码,其实也很简单。改改就好了。直接上代码很短,大牛莫笑....//For x64****************************************************
wchar_t* x64_ImagePath = L"C:\\Windows\\system32\\winlogon.exe"; //利用伪装成winlogon.exe躲避HS Inline hook的拦截过滤。
int _tmain(int argc, _TCHAR* argv[])
{
int a = NULL;
__asm{
mov eax,dword ptr fs:[0x30]
add eax,0x1000 //x64
mov eax,[eax+0x020]
add eax,0x060
add eax,0x8 //x64下对_UNICODE_STRING进行了拓展,+0x002 MaximumLength : Uint2B后仍有4个字节的空白
mov ebx,[x64_ImagePath]
mov [eax],ebx //fake
mov [a],eax
}
getchar();
return 0;
}下面是32位下使用的Delphi代码:
//For x86****************************************************
unit bypass_HS;
interface
procedure Killfor32(name : widestring);
implementation
procedure Killfor32(name : widestring);
begin
asm
mov eax,dword ptr fs:[$30]
mov eax,[eax+$10]
add eax,$38
add eax,$4
mov ebx,name
mov [eax],ebx
//mov name,eax
end;
end;
end.使用完以上代码后,对HackShield保护的进程你的EXE可以随意调用OpenProcess、WriteProcessMemory\ReadProcessMemory等api对受保护目标进程进行ring3下的操作。。。有说没有效果的朋友这个路径名必须是全局变量,不能是栈变量。。都有点不好意思发出来了...太没技术含量- -
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
谢谢分享 !
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不带换行的简单的一句代码搞定,为什么要搞N行C的?别人只是发个例子,非要符合你味口才点头啊。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
只能说7楼是个2B,人家爱用啥语言就用啥语言
 谢谢楼主分享 |
|
|
|
|
|
 ruoko不是我的号码么..
|
|
|
|
