首页
社区
课程
招聘
[原创]win7 x64位通过修改ImagePathName绕过HS部分kernel Hook
发表于: 2012-9-27 14:43 19754

[原创]win7 x64位通过修改ImagePathName绕过HS部分kernel Hook

2012-9-27 14:43
19754
//For x64****************************************************
wchar_t* x64_ImagePath = L"C:\\Windows\\system32\\winlogon.exe";  //利用伪装成winlogon.exe躲避HS Inline hook的拦截过滤。
int _tmain(int argc, _TCHAR* argv[])
{
	int a = NULL;
	__asm{
		mov eax,dword ptr fs:[0x30] 
		add eax,0x1000 //x64
		mov eax,[eax+0x020]  
		add eax,0x060 
		add eax,0x8 //x64下对_UNICODE_STRING进行了拓展,+0x002 MaximumLength    : Uint2B后仍有4个字节的空白
		mov ebx,[x64_ImagePath] 
		mov [eax],ebx //fake
		mov [a],eax 
	}
	getchar();
	return 0;
}

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 6
支持
分享
最新回复 (24)
雪    币: 22
活跃值: (458)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
谢谢分享 !
2012-9-27 15:16
0
雪    币: 24
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
支持一下,学习了
2012-9-27 19:05
0
雪    币: 65
活跃值: (112)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
你这个的话,只对那些用时从PEB取img路径的弱智hips有效。。。。但实际上。。。很多hips包括杀软,是在你的进程正式运行前,就获取到了路径并保存下来,以后仅仅根据pid查路径

你这样做就没用了
2012-9-27 21:16
0
雪    币: 122
活跃值: (72)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
PID也可以伪装。
2012-9-27 21:39
0
雪    币: 65
活跃值: (112)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
不许上驱动你伪装给我看看……楼主的例子是不需要驱动的……你都有驱动了……还用得着伪装吗……直接干掉杀软什么的,还有啥是不可以的?
2012-9-28 07:16
0
雪    币: 65
活跃值: (112)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
还有,我说楼主,能不能不搞那么高深啊?简单几句c代码就能搞定的,还非得n行asm……貌似大家都觉得asm更高深些似的……
2012-9-28 07:19
0
雪    币: 36
活跃值: (45)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
嵌入汇编还不如直接汇编,要不C也成,不过还是ASM好理解点。
2012-9-28 11:11
0
雪    币: 122
活跃值: (72)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
我这个帖子只是针对HS保护有效。不提到其它的。
2012-9-28 11:42
0
雪    币: 122
活跃值: (72)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
难道还要贴出整个PEB结构,这样的写法已经很简单了。大家都看得懂。
2012-9-28 11:43
0
雪    币: 107
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
现在的观众火气何必这么大呢
反正是个技术共享 有兴趣就讨论下 没兴趣就算了么 你不喜欢别人未必无用
总不至于说这地盘是你的 发些有点小瑕疵的帖子就要打压?
2012-9-28 12:01
0
雪    币: 351
活跃值: (479)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
不带换行的简单的一句代码搞定,为什么要搞N行C的?别人只是发个例子,非要符合你味口才点头啊。
2012-9-28 13:01
0
雪    币: 585
活跃值: (578)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
13
哈哈,用汇编感觉是要良好些。
至少可以促使不懂汇编的去学习。
2012-9-28 14:54
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
14
Win7 x64 HS内核无hook吧~最多就几个callback...
2012-9-28 15:38
0
雪    币: 65
活跃值: (112)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
15
只是看到太多人连
a=123;

b=456;

x=a+b;

这样的代码都得搞asm秀一下。。。。而且又不全是汇编。。仅仅对一小段类似这样的代码asm一下而已

这个看到我就想打人
2012-9-28 17:03
0
雪    币: 122
活跃值: (72)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
16
V大。。。。膜拜,win7 64我用不了Xuetr
2012-9-28 17:10
0
雪    币: 242
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
代码是用来bypass游戏保护的,不是用来Anti杀软的.想怎么写是每个人的权利,你JJYY半天,是想告诉别人你的眼光高人一等?
NB的话,你也放代码就行了,何必言语措辞间藐视他人?
你看不惯,你可以不看,看与不看也是每个人的权利.“你看到就想打人”这句话,可见你之素质.
2012-9-28 23:34
0
雪    币: 76
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
支持共享,别人辛苦弄出来的东西,免费给你看,你还挑三拣四的,爱看不看没有要你看的啊!~
2012-9-29 17:45
0
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
人家是过保护,跟pass杀软件有毛关系啊
2012-9-30 05:33
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
20
又是这样的评论,以为加载了驱动就万能无敌啊???

“还用得着伪装吗……直接干掉杀软什么的"

肯定没有写过实战类的XXXXXXXX。
2012-10-17 11:48
0
雪    币: 224
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
只有你才认为他在秀ASM,ASM是一种语言,为什么不能用?  你的回复让人火大
2012-10-30 08:26
0
雪    币: 16
活跃值: (138)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
只能说7楼是个2B,人家爱用啥语言就用啥语言

谢谢楼主分享
2012-10-30 23:59
0
雪    币: 272
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
7楼不止是2B,还带**,估计连楼主的内容都没看完就开喷,楼主明明说的HS。
2012-10-31 01:07
0
雪    币: 55
活跃值: (531)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
24
ruoko不是我的号码么..
2012-11-3 12:09
0
雪    币: 43
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
不会asm,没多大造诣,没文化,要学会谦虚,自大很简单,并没多少技术含量
程序员到csdn,看雪是搞底层的,请先理清你的思路
按理说,某人不爱asm,那你怎么知道hs的,hs难道是开源的?笑话,挫B一个,找喷。
2012-11-3 12:26
0
游客
登录 | 注册 方可回帖
返回
//