[原创]学习内核Reload-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]学习内核Reload

发表于: 2012-12-31 03:02 12625

[原创]学习内核Reload

lucieniorl 活跃值

2012-12-31 03:02

12625

首先多谢kanxue老大给转正了～～～
开始接触驱动，看了某大神的<BypassAntiDebug>项目，看得云里来雾里去，不动手始终是不了解的，边抄边学，最终还是从大神的项目学到不少东西，在这首先感觉大神。不过也令俺的本本蓝了N次
简单介绍下项目：
   首先HookPort.sys是加载内核文件ntkrnlpa.exe和win32k.sys  提供一个注册函数的接口
   然后另起一个驱动HpFilter.sys，向这个驱动发送过滤函数
   然后，，，完了


  HOOK的服务函数的索引，我是从r3通过查找ntdll后,发送给HpFilter.sys.可能直接在驱动可以load ntdll.dll来读索引，我没试过。
使用：
      操作系统是win7 32位先把HookPort.sys加载，然后运行DriverClient.exe,点击[HookPort],再加载HpFilter.sys,再点击[SendIndex],即把r3层读到的服务函数索引发给HpFilter.sys,再点击[HookFunc]，即向HookPort发送过滤函数，并进行HOOK。卸载的话要先把HpFilter.sys卸载了，再卸载HookPort.sys
发代码给初学者一起学习下，有大神偶尔有兴趣看到的话，帮指点下，有时候还是会BSOD，又不怎么懂分析DUMP文件。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

Project.rar （172.75kb，332次下载）

收藏・25

免费・6

支持

最新回复 (18)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼内核reload已经是白菜价格的技术，看看A盾源码吧。最稳定的reload使用。 2012-12-31 04:52 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼已经白菜了…… 不是模仿360吧。这名字赞。 2012-12-31 07:48 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼其实致关键还是归咎到异常分发。 dbgk，kidispatchexception。这些没处理，Reload用处不大。 2012-12-31 07:53 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 5 楼这么晚了啊。。。楼主注意休息！ 2012-12-31 09:37 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 6 楼感谢楼主分享~ 2012-12-31 12:21 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 1 关注私信	wertyuyuyu 4 7 楼虽不觉，但知厉 2012-12-31 12:55 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 8 楼好，我下来看看～先找各大大的源码来学习学习 2012-12-31 13:03 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 9 楼是啊，参照大神的项目写的 2012-12-31 13:04 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 10 楼嗯嗯，一步一步来，接下来就是异常分发，然后IDT，会把这些逐步整合进来的 2012-12-31 13:05 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 11 楼初学习是得花多点时间了，上面几楼的大貌似更刻苦 2012-12-31 13:06 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 12 楼我主要是看大神的<BypassAntiDebug>项目的变量和结构体的命名,看的云里雾里,很多变量都是一样的名字后边跟不同数字,正在重写中根据自己的理解把结构体和变量的命名全改成好理解的名字,估计哪我才能完全理解源代码的思路,可惜你这是windows 7的,我只想让它在XP上跑. 再次深深的感谢,看雪开源的各位大牛,给像我这样的菜鸟指引了入门的方向. 2012-12-31 14:16 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 13 楼不是吧，还有这种变量命名，我竟然不知道，哈。难为你了。 2012-12-31 14:34 0
莫灰灰雪币： 2308 活跃值： (2200) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 14 楼挺好的。不过凌晨3点多，楼主注意身体啊。 2013-1-1 19:50 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼重载内核，不错，顶一个 2013-1-1 20:05 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 16 楼好，但落后了只能勤奋点了。还有多谢版主大大推荐 2013-1-4 23:32 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 17 楼 2013-1-4 23:34 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 18 楼重载内核 win32k.sys 的时候,为什么一定要Attach到一个GUI进程才能修复win32k.sys?那位大牛解释下 2013-1-14 13:44 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 19 楼 BypassAntiDebug 那项目一般人看不懂。。。 2013-1-17 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lucieniorl

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼内核reload已经是白菜价格的技术，看看A盾源码吧。最稳定的reload使用。 2012-12-31 04:52 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼已经白菜了…… 不是模仿360吧。这名字赞。 2012-12-31 07:48 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼其实致关键还是归咎到异常分发。 dbgk，kidispatchexception。这些没处理，Reload用处不大。 2012-12-31 07:53 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 5 楼这么晚了啊。。。楼主注意休息！ 2012-12-31 09:37 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 6 楼感谢楼主分享~ 2012-12-31 12:21 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 1 关注私信	wertyuyuyu 4 7 楼虽不觉，但知厉 2012-12-31 12:55 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 8 楼好，我下来看看～先找各大大的源码来学习学习 2012-12-31 13:03 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 9 楼是啊，参照大神的项目写的 2012-12-31 13:04 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 10 楼嗯嗯，一步一步来，接下来就是异常分发，然后IDT，会把这些逐步整合进来的 2012-12-31 13:05 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 11 楼初学习是得花多点时间了，上面几楼的大貌似更刻苦 2012-12-31 13:06 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 12 楼我主要是看大神的<BypassAntiDebug>项目的变量和结构体的命名,看的云里雾里,很多变量都是一样的名字后边跟不同数字,正在重写中根据自己的理解把结构体和变量的命名全改成好理解的名字,估计哪我才能完全理解源代码的思路,可惜你这是windows 7的,我只想让它在XP上跑. 再次深深的感谢,看雪开源的各位大牛,给像我这样的菜鸟指引了入门的方向. 2012-12-31 14:16 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 13 楼不是吧，还有这种变量命名，我竟然不知道，哈。难为你了。 2012-12-31 14:34 0
莫灰灰雪币： 2308 活跃值： (2200) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 14 楼挺好的。不过凌晨3点多，楼主注意身体啊。 2013-1-1 19:50 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 15 楼重载内核，不错，顶一个 2013-1-1 20:05 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 16 楼好，但落后了只能勤奋点了。还有多谢版主大大推荐 2013-1-4 23:32 0
lucieniorl 雪币： 132 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	lucieniorl 2 17 楼 2013-1-4 23:34 0
goldenpxf 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	goldenpxf 18 楼重载内核 win32k.sys 的时候,为什么一定要Attach到一个GUI进程才能修复win32k.sys?那位大牛解释下 2013-1-14 13:44 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 19 楼 BypassAntiDebug 那项目一般人看不懂。。。 2013-1-17 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复