[原创]重载内核全程分析笔记-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]重载内核全程分析笔记

发表于: 2013-8-20 20:19 101127

[原创]重载内核全程分析笔记

Speeday

2013-8-20 20:19

101127

查看主题内容

收藏・313

免费・6

支持

最新回复 (152) ◀ 1 2 3 4 5 6 7 ▶
黑夜族人雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	黑夜族人 126 楼果断mark一下 2014-9-5 15:43 0
cnppk 雪币： 524 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 139 粉丝 0 关注私信	cnppk 127 楼 0.00.0.0 2014-9-5 15:43 0
sliwu 雪币： 39 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sliwu 128 楼 Mark好文章 2014-9-10 15:23 0
liulika 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	liulika 129 楼顶楼主学习态度！ 2014-9-11 05:15 0
otie 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	otie 130 楼 mark 学习一下 2014-9-11 10:30 0
ironjie 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	ironjie 131 楼初学内核宠爱的好资料 2014-10-2 00:47 0
熟如陌路雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 99 粉丝 0 关注私信	熟如陌路 132 楼 Win7 64下的ssdt需要你动态获取，它没有导出，不能向XP下那样直接使用，函数地址也有点变化，看一下win7下的ssdt hook就能明了了 2014-10-3 02:19 0
pregnant 雪币： 68 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 106 粉丝 0 关注私信	pregnant 133 楼先收藏再说吧 2014-10-3 13:22 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 134 楼不是64位的是32位的不可以。函数地址能找到，但是问题是后面的出现错误 2014-10-6 14:09 0
走起来雪币： 484 活跃值： (977) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 7 关注私信	走起来 135 楼其实楼主不用做SSDT HOOK来找KiFastCallEntry 你这样好累....... 直接读取MSR寄存器这里面就是KiFastCallEntry的地址啊 mov ecx, 0x176 rdmsr mov FunctionAddress, eax 2014-10-12 22:55 0
走起来雪币： 484 活跃值： (977) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 7 关注私信	走起来 136 楼这里应该只是计算出SSDT表的位置即可楼主可能是用词不对吧 2014-10-12 23:05 0
闹闹雪币： 214 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	闹闹 137 楼 mark~~ 2014-10-28 11:39 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 138 楼 mark 2014-10-28 12:18 0
丶侠雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	丶侠 139 楼请问用DriverMonitor加载出现 The imagePath specified in drive's service database entry is incorrect,or the fule is missing 该怎么解决呀 2014-11-3 16:50 0
昊洋雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	昊洋 140 楼收藏一下，正在啃 2014-11-12 13:13 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 141 楼才看到这个很厉害 2014-11-12 13:33 0
嘘！安静雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	嘘！安静 142 楼请问，为什么要修改堆栈里面的值呢？ call display //再返回前修改堆栈里的数据 mov [esp+0x14],eax 并没有看到中间有任何修改ebx的值。。。那么为什么结果，call ebx的结果还是新内核呢 2014-11-26 18:47 0
fengjl 雪币： 160 活跃值： (272) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 112 粉丝 1 关注私信	fengjl 1 143 楼标记一下，学习学习 2014-11-27 20:49 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 144 楼 [QUOTE=嘘！安静;1333751]请问，为什么要修改堆栈里面的值呢？ call display //再返回前修改堆栈里的数据 mov [esp+0x14],eax 并没有看到中间有任何修改ebx的值。。。那么为什么结果，call ebx的结果还是新内核呢[/QUOTE] 这个跟堆栈有关哦，esp就是堆栈指针，+0x14就是指向ebx的。好久没碰了，呵呵。 2014-11-29 18:22 0
cykefu 雪币： 54 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 125 粉丝 0 关注私信	cykefu 145 楼 mark下 2014-12-19 08:34 0
Maiunjour 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	Maiunjour 146 楼好像看懂了！回头试试 2014-12-19 17:57 0
ZSYL 雪币： 16 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 147 楼基址重定位那里有疑问,偏移量应该是镜像在内存中的地址-PE文件基址,也就是新内核Image地址-OptionalHeader.ImageBase啊,代码里却是OrigImage-OriginalImageBase,也就是旧内核基址-OrigImage-OriginalImageBase??? 2015-1-13 23:44 0
liulichun 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	liulichun 148 楼这个贴子，不能沉 2015-2-7 18:06 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 149 楼看来我要从2013年开始学起了。。落后的太多了。··· 2015-2-9 21:19 0
千纸鹤雪币： 2 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	千纸鹤 150 楼你这个HOOK KiFastCallEntry的方法貌似有点问题啊，是通过调用NtOpenProcess，然后堆栈回朔HookKiFastCallEntry 的，但是如果TP也HOOK了NtOpenProcess了呢？ 2015-6-22 23:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Speeday

发帖

353

回帖

400

RANK

关注

私信

他的文章

[原创]浅谈windows下的隐藏 32304
[原创]重载内核全程分析笔记 101127

关于我们

联系我们

企业服务

看雪公众号

最新回复 (152) ◀ 1 2 3 4 5 6 7 ▶
黑夜族人雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	黑夜族人 126 楼果断mark一下 2014-9-5 15:43 0
cnppk 雪币： 524 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 139 粉丝 0 关注私信	cnppk 127 楼 0.00.0.0 2014-9-5 15:43 0
sliwu 雪币： 39 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sliwu 128 楼 Mark好文章 2014-9-10 15:23 0
liulika 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	liulika 129 楼顶楼主学习态度！ 2014-9-11 05:15 0
otie 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	otie 130 楼 mark 学习一下 2014-9-11 10:30 0
ironjie 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	ironjie 131 楼初学内核宠爱的好资料 2014-10-2 00:47 0
熟如陌路雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 99 粉丝 0 关注私信	熟如陌路 132 楼 Win7 64下的ssdt需要你动态获取，它没有导出，不能向XP下那样直接使用，函数地址也有点变化，看一下win7下的ssdt hook就能明了了 2014-10-3 02:19 0
pregnant 雪币： 68 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 106 粉丝 0 关注私信	pregnant 133 楼先收藏再说吧 2014-10-3 13:22 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 134 楼不是64位的是32位的不可以。函数地址能找到，但是问题是后面的出现错误 2014-10-6 14:09 0
走起来雪币： 484 活跃值： (977) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 7 关注私信	走起来 135 楼其实楼主不用做SSDT HOOK来找KiFastCallEntry 你这样好累....... 直接读取MSR寄存器这里面就是KiFastCallEntry的地址啊 mov ecx, 0x176 rdmsr mov FunctionAddress, eax 2014-10-12 22:55 0
走起来雪币： 484 活跃值： (977) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 7 关注私信	走起来 136 楼这里应该只是计算出SSDT表的位置即可楼主可能是用词不对吧 2014-10-12 23:05 0
闹闹雪币： 214 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	闹闹 137 楼 mark~~ 2014-10-28 11:39 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 138 楼 mark 2014-10-28 12:18 0
丶侠雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	丶侠 139 楼请问用DriverMonitor加载出现 The imagePath specified in drive's service database entry is incorrect,or the fule is missing 该怎么解决呀 2014-11-3 16:50 0
昊洋雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	昊洋 140 楼收藏一下，正在啃 2014-11-12 13:13 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 141 楼才看到这个很厉害 2014-11-12 13:33 0
嘘！安静雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	嘘！安静 142 楼请问，为什么要修改堆栈里面的值呢？ call display //再返回前修改堆栈里的数据 mov [esp+0x14],eax 并没有看到中间有任何修改ebx的值。。。那么为什么结果，call ebx的结果还是新内核呢 2014-11-26 18:47 0
fengjl 雪币： 160 活跃值： (272) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 112 粉丝 1 关注私信	fengjl 1 143 楼标记一下，学习学习 2014-11-27 20:49 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 144 楼 [QUOTE=嘘！安静;1333751]请问，为什么要修改堆栈里面的值呢？ call display //再返回前修改堆栈里的数据 mov [esp+0x14],eax 并没有看到中间有任何修改ebx的值。。。那么为什么结果，call ebx的结果还是新内核呢[/QUOTE] 这个跟堆栈有关哦，esp就是堆栈指针，+0x14就是指向ebx的。好久没碰了，呵呵。 2014-11-29 18:22 0
cykefu 雪币： 54 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 125 粉丝 0 关注私信	cykefu 145 楼 mark下 2014-12-19 08:34 0
Maiunjour 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	Maiunjour 146 楼好像看懂了！回头试试 2014-12-19 17:57 0
ZSYL 雪币： 16 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 147 楼基址重定位那里有疑问,偏移量应该是镜像在内存中的地址-PE文件基址,也就是新内核Image地址-OptionalHeader.ImageBase啊,代码里却是OrigImage-OriginalImageBase,也就是旧内核基址-OrigImage-OriginalImageBase??? 2015-1-13 23:44 0
liulichun 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	liulichun 148 楼这个贴子，不能沉 2015-2-7 18:06 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 149 楼看来我要从2013年开始学起了。。落后的太多了。··· 2015-2-9 21:19 0
千纸鹤雪币： 2 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	千纸鹤 150 楼你这个HOOK KiFastCallEntry的方法貌似有点问题啊，是通过调用NtOpenProcess，然后堆栈回朔HookKiFastCallEntry 的，但是如果TP也HOOK了NtOpenProcess了呢？ 2015-6-22 23:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复