[原创]重载内核全程分析笔记-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]重载内核全程分析笔记

发表于: 2013-8-20 20:19 101263

[原创]重载内核全程分析笔记

Speeday

2013-8-20 20:19

101263

查看主题内容

收藏・313

免费・6

支持

最新回复 (152) ◀ 1 2 3 4 5 6 7 ▶
syskeylbz 雪币： 39 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	syskeylbz 101 楼正学习内核重载呢，你的文章写得不错，通俗易懂，学习了 2013-11-5 15:10 0
CoCoLin 雪币： 263 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	CoCoLin 102 楼不一定是ntkrnlpa.exe啊，非物理地址扩展的加载的另一个内核的 2013-11-24 13:31 0
cryptonym 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	cryptonym 103 楼入门的好教材，我要好好看看，一直在摸索。 2013-12-3 20:37 0
fy风云雪币： 60 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	fy风云 1 104 楼先来支持下楼主，周末有空看看 2013-12-17 23:19 0
zazazabo 雪币： 112 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 33 粉丝 0 关注私信	zazazabo 105 楼受益匪浅！同样的方法也可以加载win32k.sys的吗 2013-12-23 23:40 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 106 楼 mark! 2013-12-26 22:14 0
beancurd 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	beancurd 107 楼很好的东西，学习。 2013-12-27 18:42 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 108 楼支持一下大牛了 2013-12-28 12:18 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 109 楼下了大牛的附件,原本想用内核重载来过XT工具。。用WDK生成，加载成功后还是不能用CE打开XT。。请问是什么原因，还有生成的内核驱动有两个警告。但可以用加载工具启动驱动。。具体使用办法能说详细点吗？ 2013-12-28 12:48 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 110 楼重载内核的主要作用是用来过ssdt hook和一些inline hook,你打开XT会发现它并没有hook NtOpenProcess这个函数来防止你打开，据我推测它是用了一些隐藏技术。所以用重载内核来对付他是没用的。 2013-12-30 09:42 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 111 楼你这个还没进行导入函数绑定，如果用到 HAL 的函数，那就得挂了。 2013-12-30 09:45 0
messagea 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	messagea 112 楼 mark ~感谢LZ的无私奉献! 2014-2-9 18:22 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 113 楼基址重定位这一小段不是特别理解，求助一下一、我对重载内核的理解是，由于现在系统中有很多HOOK等东西，所以将系统的代码重新加载，让系统在新的内核代码上跑，这样就可以绕过其他软件的HOOK，让他以为HOOK仍然存在。二、如果基于1的理解，那么新加载的内核的代码应该都是走新的代码流程，不应该去访问原来的代码。而在贴中的第一张截图中，新加载的createFile 与原来的CreateFile 在基址重定位后都访问了相同的地址。。这样如果这个地址被hook了，重载不就无效了吗？ 2014-2-13 09:26 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 114 楼大概就是你说的那样了，基址重定位是因为手动load的内核模块不像开机启动的那样正常运行过，所以新内核模块的变量没有初始化，基址重定位的目的是将新内核中没有初始化的变量定位到老内核中去，这样才可以运行。指定进程走新内核时，也只是把ssdt 表中的函数拿来执行，其它的没有用到。 2014-2-13 09:33 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 115 楼在重定位前函数内部的RenameSequence 指令对应的十六进制分别是 8b1db80c5580 8d1db88c4700 但在重定位后。都变成了 8b1db80c5580 8b1db80c5580 也就是将新加载的内核代码数据其实都改变了，也就是你讲的定位到老内核中去。那我的理解是，能不能直接不使用老内核的代码。全部在新的上面跑？ 2014-2-13 09:40 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 116 楼是全部在新内核模块上跑呀，只不过是把变量的值拿过来用了。 2014-2-13 09:49 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 117 楼啊啊啊。我知道了。我笨了。这行代码看的时候没注意。虽然看到的是mov . 结果心中想的是call.... 2014-2-13 09:54 0
dreamred 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	dreamred 118 楼很好的文章，拜读！ 2014-4-11 14:21 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 119 楼过时的方法其实可以干掉杀软然后在跳到我们们的中继函数里面在跳回去那样就完美过掉 2014-4-12 02:01 0
dgann 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	dgann 120 楼支持楼主分享精神 2014-4-12 08:31 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 121 楼 mark 2014-4-12 08:40 0
风中王者雪币： 209 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	风中王者 122 楼学习一下，但不知道怎么才能赚取大但MK 2014-5-14 15:05 0
幽叶无情雪币： 18 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 76 粉丝 0 关注私信	幽叶无情 123 楼楼主，你前面都重定位了，后面为啥还要修正ssdt->servicetable里的地址值？我现在的代码就不需要修正，只需要把ssdt->servicetable这个指针指到新的位置就行了 2014-7-1 00:04 0
飞舞夜雨雪币： 27 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	飞舞夜雨 124 楼通俗易懂，谢谢分享。。论坛因你更精彩。。 2014-7-4 21:43 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 125 楼经过测试之后发现系统兼容没有做..xp下非常成功,win7下测试失败.hook地址定位不到. 即使是干净的系统也提示 "pNewSSDT is unaviable!" 不知道为什么 2014-9-4 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Speeday

发帖

353

回帖

400

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (152) ◀ 1 2 3 4 5 6 7 ▶
syskeylbz 雪币： 39 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	syskeylbz 101 楼正学习内核重载呢，你的文章写得不错，通俗易懂，学习了 2013-11-5 15:10 0
CoCoLin 雪币： 263 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	CoCoLin 102 楼不一定是ntkrnlpa.exe啊，非物理地址扩展的加载的另一个内核的 2013-11-24 13:31 0
cryptonym 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	cryptonym 103 楼入门的好教材，我要好好看看，一直在摸索。 2013-12-3 20:37 0
fy风云雪币： 60 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	fy风云 1 104 楼先来支持下楼主，周末有空看看 2013-12-17 23:19 0
zazazabo 雪币： 112 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 33 粉丝 0 关注私信	zazazabo 105 楼受益匪浅！同样的方法也可以加载win32k.sys的吗 2013-12-23 23:40 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 106 楼 mark! 2013-12-26 22:14 0
beancurd 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	beancurd 107 楼很好的东西，学习。 2013-12-27 18:42 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 108 楼支持一下大牛了 2013-12-28 12:18 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 109 楼下了大牛的附件,原本想用内核重载来过XT工具。。用WDK生成，加载成功后还是不能用CE打开XT。。请问是什么原因，还有生成的内核驱动有两个警告。但可以用加载工具启动驱动。。具体使用办法能说详细点吗？ 2013-12-28 12:48 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 110 楼重载内核的主要作用是用来过ssdt hook和一些inline hook,你打开XT会发现它并没有hook NtOpenProcess这个函数来防止你打开，据我推测它是用了一些隐藏技术。所以用重载内核来对付他是没用的。 2013-12-30 09:42 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 111 楼你这个还没进行导入函数绑定，如果用到 HAL 的函数，那就得挂了。 2013-12-30 09:45 0
messagea 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	messagea 112 楼 mark ~感谢LZ的无私奉献! 2014-2-9 18:22 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 113 楼基址重定位这一小段不是特别理解，求助一下一、我对重载内核的理解是，由于现在系统中有很多HOOK等东西，所以将系统的代码重新加载，让系统在新的内核代码上跑，这样就可以绕过其他软件的HOOK，让他以为HOOK仍然存在。二、如果基于1的理解，那么新加载的内核的代码应该都是走新的代码流程，不应该去访问原来的代码。而在贴中的第一张截图中，新加载的createFile 与原来的CreateFile 在基址重定位后都访问了相同的地址。。这样如果这个地址被hook了，重载不就无效了吗？ 2014-2-13 09:26 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 114 楼大概就是你说的那样了，基址重定位是因为手动load的内核模块不像开机启动的那样正常运行过，所以新内核模块的变量没有初始化，基址重定位的目的是将新内核中没有初始化的变量定位到老内核中去，这样才可以运行。指定进程走新内核时，也只是把ssdt 表中的函数拿来执行，其它的没有用到。 2014-2-13 09:33 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 115 楼在重定位前函数内部的RenameSequence 指令对应的十六进制分别是 8b1db80c5580 8d1db88c4700 但在重定位后。都变成了 8b1db80c5580 8b1db80c5580 也就是将新加载的内核代码数据其实都改变了，也就是你讲的定位到老内核中去。那我的理解是，能不能直接不使用老内核的代码。全部在新的上面跑？ 2014-2-13 09:40 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 116 楼是全部在新内核模块上跑呀，只不过是把变量的值拿过来用了。 2014-2-13 09:49 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 117 楼啊啊啊。我知道了。我笨了。这行代码看的时候没注意。虽然看到的是mov . 结果心中想的是call.... 2014-2-13 09:54 0
dreamred 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	dreamred 118 楼很好的文章，拜读！ 2014-4-11 14:21 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 119 楼过时的方法其实可以干掉杀软然后在跳到我们们的中继函数里面在跳回去那样就完美过掉 2014-4-12 02:01 0
dgann 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	dgann 120 楼支持楼主分享精神 2014-4-12 08:31 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 121 楼 mark 2014-4-12 08:40 0
风中王者雪币： 209 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	风中王者 122 楼学习一下，但不知道怎么才能赚取大但MK 2014-5-14 15:05 0
幽叶无情雪币： 18 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 76 粉丝 0 关注私信	幽叶无情 123 楼楼主，你前面都重定位了，后面为啥还要修正ssdt->servicetable里的地址值？我现在的代码就不需要修正，只需要把ssdt->servicetable这个指针指到新的位置就行了 2014-7-1 00:04 0
飞舞夜雨雪币： 27 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	飞舞夜雨 124 楼通俗易懂，谢谢分享。。论坛因你更精彩。。 2014-7-4 21:43 0
君君寒雪币： 6092 活跃值： (734) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 125 楼经过测试之后发现系统兼容没有做..xp下非常成功,win7下测试失败.hook地址定位不到. 即使是干净的系统也提示 "pNewSSDT is unaviable!" 不知道为什么 2014-9-4 10:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复