[不敢声称原创，怕被喷]R3下猥琐NTDLL钩子-编程技术-看雪-安全社区|安全招聘|kanxue.com

[不敢声称原创，怕被喷]R3下猥琐NTDLL钩子

发表于: 2013-3-6 05:25 22548

[不敢声称原创，怕被喷]R3下猥琐NTDLL钩子

exediy

2013-3-6 05:25

22548

在R3下对NTDLL里面的Zw函数的HOOK 大部分都是在函数前几个字节做HOOK,或者IAT之类的.这样的HOOK 虽然比较方便,不过也存在一个很大的弊端,就是函数HOOK 很容易被检测,所以我们需要一种更猥琐的HOOK方式.当然这只是相对.而不是真的很猥琐......

NTDLL里面的ZW函数大部分都是这样的


MOV EAX,1
MOV EDX,7FFE0300
CALL DWORD PTR DS:[EDX]
RETN 20

77866190 >  8BD4             MOV EDX,ESP
77866192    0F34             SYSENTER
77866194 >  C3               RETN

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・58

免费・6

支持

最新回复 (45) 1 2 ▶
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼恩,不错,支持下~ 还可以强大点,比如可以这样: 1:先执行我们自己的函数,在执行原始函数 2:只执行我们自己的函数 3:执行了原始函数之后,在执行我们自己的函数 2013-3-6 08:22 0
guobing 雪币： 11138 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 3 楼果然猥琐，，hook KiFastSystemCall 然后加个过滤是吧。 2013-3-6 08:47 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 4 楼看雪的人才真的多。 2013-3-6 09:08 0
pysafe 雪币： 698 活跃值： (4564) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 12 关注私信	pysafe 5 楼不是很多安全软件这么干么 2013-3-6 09:12 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 6 楼可以啊..... NTSTATUS NTAPI MyZwAccessCheck( IN PSECURITY_DESCRIPTOR SecurityDescriptor, IN HANDLE ClientToken, IN ACCESS_MASK DesiredAccess, IN PGENERIC_MAPPING GenericMapping, OUT PPRIVILEGE_SET PrivilegeSet, OUT PULONG ReturnLength, OUT PACCESS_MASK GrantedAccess, OUT PNTSTATUS AccessStatus) { NTSTATUS ntStatus = ZwAccessCheck( ISecurityDescriptor, ClientToken, DesiredAccess, GenericMapping, PrivilegeSet, ReturnLength, GrantedAccess, AccessStatus); ///各种叉叉.... return ntStatus ; } 2013-3-6 09:54 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 7 楼早就用烂了的技巧 2013-3-6 09:54 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 8 楼所以才说标题才那样写..... 2013-3-6 10:01 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 9 楼如果知道那个7FFE0300是在什么地方设置的，在这里做IAT hook可能更方便吧，不过如果是全局的内存filemap，那麻烦可能有点大。 2013-3-6 10:02 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 10 楼这块内存是无法修改的.不信你可以试试...系统里面最特殊的全局共享内存. 2013-3-6 10:04 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 11 楼有点意思....嘿嘿..谢谢分享 2013-3-6 10:14 0
苦苦追行雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	苦苦追行 12 楼楼主观点不错 2013-3-6 11:07 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 13 楼够猥琐，不过还是容易被检测 2013-3-6 11:24 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 14 楼 hook来hook去有意思么, 年轻人不要在hook上浪费青春 2013-3-6 11:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 15 楼 ...这个地方从应用到内核都是hook，各种hook。真心浪费时间，精力~ 2013-3-6 12:11 0
sisess 雪币： 8216 活跃值： (3887) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 122 粉丝 1 关注私信	sisess 1 16 楼高人,能稍微指点下么? 2013-3-6 12:17 0
willianCC 雪币： 304 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	willianCC 17 楼顶下LZ，不过在这放个hook，反而更好检测了。 2013-3-6 13:02 0
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	safeboy 18 楼 mark一下，学习了 2013-3-6 14:29 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 19 楼这个地方HOOK 的好处是可以各种VM啊乱序啊等等然后又不会被检测.而且也不知道你HOOK 什么玩意了... 2013-3-6 19:46 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 20 楼最终还是会知道你hook了什么，用很老的EPA大法直接得到真相...真心伤不起~ 2013-3-6 19:57 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 21 楼 To cvcvxk 什么是EPA大法? 2013-3-6 21:55 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 22 楼搞死搞残好多人.... 2013-3-6 22:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 23 楼说的是一般水平的俗人... 2013-3-6 23:03 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 24 楼果断被鄙视~~~没办法，没时间~ 2013-3-7 00:42 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 25 楼路人应该不至于吧.再说拉屎加水下去和的..... 2013-3-7 00:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

exediy

发帖

652

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) 1 2 ▶
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼恩,不错,支持下~ 还可以强大点,比如可以这样: 1:先执行我们自己的函数,在执行原始函数 2:只执行我们自己的函数 3:执行了原始函数之后,在执行我们自己的函数 2013-3-6 08:22 0
guobing 雪币： 11138 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 3 楼果然猥琐，，hook KiFastSystemCall 然后加个过滤是吧。 2013-3-6 08:47 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 4 楼看雪的人才真的多。 2013-3-6 09:08 0
pysafe 雪币： 698 活跃值： (4564) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 12 关注私信	pysafe 5 楼不是很多安全软件这么干么 2013-3-6 09:12 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 6 楼可以啊..... NTSTATUS NTAPI MyZwAccessCheck( IN PSECURITY_DESCRIPTOR SecurityDescriptor, IN HANDLE ClientToken, IN ACCESS_MASK DesiredAccess, IN PGENERIC_MAPPING GenericMapping, OUT PPRIVILEGE_SET PrivilegeSet, OUT PULONG ReturnLength, OUT PACCESS_MASK GrantedAccess, OUT PNTSTATUS AccessStatus) { NTSTATUS ntStatus = ZwAccessCheck( ISecurityDescriptor, ClientToken, DesiredAccess, GenericMapping, PrivilegeSet, ReturnLength, GrantedAccess, AccessStatus); ///各种叉叉.... return ntStatus ; } 2013-3-6 09:54 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 7 楼早就用烂了的技巧 2013-3-6 09:54 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 8 楼所以才说标题才那样写..... 2013-3-6 10:01 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 9 楼如果知道那个7FFE0300是在什么地方设置的，在这里做IAT hook可能更方便吧，不过如果是全局的内存filemap，那麻烦可能有点大。 2013-3-6 10:02 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 10 楼这块内存是无法修改的.不信你可以试试...系统里面最特殊的全局共享内存. 2013-3-6 10:04 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 11 楼有点意思....嘿嘿..谢谢分享 2013-3-6 10:14 0
苦苦追行雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	苦苦追行 12 楼楼主观点不错 2013-3-6 11:07 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 13 楼够猥琐，不过还是容易被检测 2013-3-6 11:24 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 14 楼 hook来hook去有意思么, 年轻人不要在hook上浪费青春 2013-3-6 11:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 15 楼 ...这个地方从应用到内核都是hook，各种hook。真心浪费时间，精力~ 2013-3-6 12:11 0
sisess 雪币： 8216 活跃值： (3887) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 122 粉丝 1 关注私信	sisess 1 16 楼高人,能稍微指点下么? 2013-3-6 12:17 0
willianCC 雪币： 304 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	willianCC 17 楼顶下LZ，不过在这放个hook，反而更好检测了。 2013-3-6 13:02 0
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	safeboy 18 楼 mark一下，学习了 2013-3-6 14:29 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 19 楼这个地方HOOK 的好处是可以各种VM啊乱序啊等等然后又不会被检测.而且也不知道你HOOK 什么玩意了... 2013-3-6 19:46 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 20 楼最终还是会知道你hook了什么，用很老的EPA大法直接得到真相...真心伤不起~ 2013-3-6 19:57 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 21 楼 To cvcvxk 什么是EPA大法? 2013-3-6 21:55 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 22 楼搞死搞残好多人.... 2013-3-6 22:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 23 楼说的是一般水平的俗人... 2013-3-6 23:03 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 24 楼果断被鄙视~~~没办法，没时间~ 2013-3-7 00:42 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 25 楼路人应该不至于吧.再说拉屎加水下去和的..... 2013-3-7 00:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复