首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]重载内核全程分析笔记
发表于: 2013-8-20 20:19 101127

[原创]重载内核全程分析笔记

Speeday 活跃值
8
2013-8-20 20:19
101127

查看主题内容

收藏
免费 6
支持
分享
最新回复 (152)
封心锁爱
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
51
好,先mark
2013-8-24 11:39
0
靴子
雪    币: 22
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
52
不错!~~~学习了~~
2013-8-24 20:39
0
mathLiker
雪    币: 15
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
53
不错,ReloadKernel的过程和用法都描述了.

关于360对于 KiFastCallEntry 的hook,不知楼主如何分析出来的,
个人猜测:
1,XueTr 等工具查看内核入口点钩子,发现 360 钩住 KiFastCallEntry
2,WinDbg查看安装360机器的 KiFastCallEntry 汇编代码
3,在没360的机器上 WinDbg 反汇编 KiFastCallEntry ,通过对比发现 hook
2013-8-24 23:04
0
jayfree
雪    币: 134
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
54
这类方法估计已经无法过TP了。。。。。
2013-8-25 00:52
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
55
呵呵,这个首先是听别人说,然后自己再去验证的。
2013-8-25 10:00
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
56
过TP肯定 是不行的,毕竟这只是那些源码中的一个技术点而已。而且 我发这篇文章只在技术交流,不是用来做坏事的。
2013-8-25 10:03
0
ericdougle
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
57
好文,值得一读
2013-8-25 10:23
0
程序原
雪    币: 10171
活跃值: (5047)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
58
必须留个位置
2013-8-25 11:06
0
rhffv
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
59
thanks for sharing
2013-8-25 11:36
0
SBkiller
雪    币: 10
活跃值: (83)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
60
感谢楼主分享
2013-8-26 21:57
0
wcfq
雪    币: 1025
活跃值: (239)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
61
老大想知道 都有哪些源码被都丢出来了 ,在什么地方下载,或者分享下 谢谢
2013-9-2 14:52
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
62
AGP,easyDebugger,PassTP,VT....哎,太多了,自己在论坛 找找吧。
2013-9-3 11:27
0
chilun
雪    币: 39
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
63
记录一下,相当年,重载内核搞了一半,,还真有坚持的兄弟,,让我又看到了希望
2013-9-3 21:49
0
AioliaSky
雪    币: 257
活跃值: (67)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
64
路过,留个mark
2013-9-3 21:59
0
chilun
雪    币: 39
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
65
兄弟,请教一下,我看了ReloadKernel代码,你是在ssdt hook NtOpenProcess内部再hook KiFastCallEntry。。这个顺序搞的我有点晕。。从R3下来不是先KiFastCallEntry再从取得ssdt中函数地址再NtOpenProcess吗?哪么直接inline hook KiFastCallEntry不就行了?还要前面ssdt hook NtOpenProcess做什么??兄弟新手,望解答??谢了
2013-9-12 17:11
0
apron
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
66
真的很好,谢谢 分享
2013-9-12 18:36
0
天高
雪    币: 623
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
67
mark
2013-9-12 18:48
0
何健hj
雪    币: 239
活跃值: (133)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
68
原来我1年前写的重载内核如果拿出来也是可以搞个精的丫。。
2013-9-15 10:09
0
kingarden
雪    币: 218
活跃值: (210)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
69
向大牛致敬!
2013-9-15 11:03
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
70
大牛为何不早点分享呀,害我搞了好久才弄清楚。
2013-9-15 16:31
0
lisongling
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
71
牛B啊,还不知道我要修练到什么时候
2013-9-17 23:03
0
qqsigma
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
72
另外,调用ZwCreateFile不成功,返回失败,不知道为什么
2013-9-21 09:07
0
Speeday
雪    币: 458
活跃值: (306)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
73
ssdt hoook 的作用是为了找到KiFastCallEntry的代码范围,这样便于快速找到正确的inline hook 地址。
2013-9-21 10:31
0
chilun
雪    币: 39
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
74
看过一份通过ZwClose得到NtClose的序号再通过NtClose的序号得到KiFastCallEntry地址,看的晕晕的,,
2013-9-22 09:06
0
ydfivy
雪    币: 579
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
75
谢谢楼主。看了。编译通过。加载成功。
2013-9-25 14:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//