[分享]新手的两份学习源码——数字的hook框架和重载内核-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]新手的两份学习源码——数字的hook框架和重载内核

发表于: 2013-9-25 16:11 20123

[分享]新手的两份学习源码——数字的hook框架和重载内核

星逝

2013-9-25 16:11

20123

本人新手一枚，望各位大牛勿喷，也希望得到大家的指点，共同进步。

不是什么新鲜、高级的东西，但对于像我一样的新手应该有点帮助。先说说数字的hook框架，实现在hookport.sys里，XT内核钩子一扫便知，inline hook了KiFastCallEntry。这个hook点选得真好，即是进内核的必经之地，又能很方便地拿到SSDT、服务例程序号及地址，稍作修改就能让流程进入自己的地盘。不知道第一个选这个hook点的公司和牛人是谁，反正后来的腾讯百度都选了这个点，框架基本上也没区别。

精力有限，自己逆了hookport里的一部分，也实现了一部分。数字的实现里分了很多种情况，比如安全模式、各Windows版本，这里我只实现了XP上的一部分。

BOOL GetModuleInfo(char* lpModuleName, ULONG* pulImageBaseAddress, ULONG* pulImageSize);

ULONG EATHook(ULONG ulImageBase, ANSI_STRING* lpastrExportName, ULONG ulHookFunc, ULONG* pulOrgFuncRVA);

BOOL GetSSDTFunctions();
BOOL InitSSDTData();
BOOL AllocateSSDTMemory(DWORD dwServiceLimit);

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

MyHookPort.rar （16.95kb，586次下载）
ReloadKernelDriver.rar （20.33kb，622次下载）

收藏・60

免费・5

支持

最新回复 (25) 1 2 ▶
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼能求带么。。。什么东西看不懂。 2013-9-25 16:36 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 3 楼有源码，难度也不是很大，相互学习。 2013-9-26 10:31 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 4 楼对网友再热情点多发点好文我支持你当斑竹 2013-9-26 10:55 0
Chinghoi 雪币： 350 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	Chinghoi 5 楼看雪新人需要这样的正能量! 好多bz就知道bs新人或者说这个那个技术好老之类的话几年前玩过接着打酱油过了, 好多新人都会支持你当斑竹的希望bz提拔有像民意党选举投票机制, 当然最后"最终解释权归xxx所有" 2013-9-26 12:18 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼路过。来看看 2013-9-26 12:57 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 7 楼谢谢支持，能力有限，但我会努力的。 2013-9-26 15:05 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 8 楼嗯，所以希望能为新手技术能力的提高尽点绵薄之力。 2013-9-26 15:07 0
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 9 楼看雪这样的人不多了（至少现在） 2013-9-27 01:53 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 10 楼支持，楼主的观点很好，谢谢分享知识。 2013-9-27 09:01 0
renpl 雪币： 63 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	renpl 11 楼 mark,支持楼主 2013-9-27 09:13 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 12 楼 mark,支持楼主 2013-9-27 09:46 0
lynnux 雪币： 3545 活跃值： (1872) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 13 楼表示支持一个 2013-9-27 11:39 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 14 楼支持当bz 因为有热情 2013-9-27 12:34 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 15 楼楼主学java的吧。 2013-9-27 12:48 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 16 楼怎么说？ 2013-9-27 13:17 0
pecado 雪币： 43 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 78 粉丝 0 关注私信	pecado 17 楼留名备案 2013-9-27 14:59 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 18 楼楼主辛苦了 2013-9-27 17:11 0
小小笑儿雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 1 关注私信	小小笑儿 19 楼 mark 2013-9-27 21:39 0
skyformat 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	skyformat 20 楼支持楼主啊。用这个能做一个串口监控的么？不占用串口的那种 2013-9-27 22:36 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 21 楼没仔细研究过，如果串口相关的例程经过KiFastCallEntry的话是可以的。 2013-9-28 09:13 0
囧囧囧囧雪币： 246 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	囧囧囧囧 22 楼有点深奥啊。。。木有什么看懂。。 2013-9-28 10:18 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 23 楼看的不是很明白啊，下下来好好研究啦 2013-9-28 17:39 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 24 楼支持一下 2013-9-28 23:17 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 25 楼代码还行关键代码位置蓝屏如何解决 2013-10-8 15:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

星逝

发帖

回帖

RANK

关注

私信

他的文章

[求助]为何最近两次论坛的调整导致我的密码不正确了 7178

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼能求带么。。。什么东西看不懂。 2013-9-25 16:36 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 3 楼有源码，难度也不是很大，相互学习。 2013-9-26 10:31 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 4 楼对网友再热情点多发点好文我支持你当斑竹 2013-9-26 10:55 0
Chinghoi 雪币： 350 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	Chinghoi 5 楼看雪新人需要这样的正能量! 好多bz就知道bs新人或者说这个那个技术好老之类的话几年前玩过接着打酱油过了, 好多新人都会支持你当斑竹的希望bz提拔有像民意党选举投票机制, 当然最后"最终解释权归xxx所有" 2013-9-26 12:18 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼路过。来看看 2013-9-26 12:57 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 7 楼谢谢支持，能力有限，但我会努力的。 2013-9-26 15:05 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 8 楼嗯，所以希望能为新手技术能力的提高尽点绵薄之力。 2013-9-26 15:07 0
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 9 楼看雪这样的人不多了（至少现在） 2013-9-27 01:53 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 10 楼支持，楼主的观点很好，谢谢分享知识。 2013-9-27 09:01 0
renpl 雪币： 63 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	renpl 11 楼 mark,支持楼主 2013-9-27 09:13 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 12 楼 mark,支持楼主 2013-9-27 09:46 0
lynnux 雪币： 3545 活跃值： (1872) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 13 楼表示支持一个 2013-9-27 11:39 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 14 楼支持当bz 因为有热情 2013-9-27 12:34 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 15 楼楼主学java的吧。 2013-9-27 12:48 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 16 楼怎么说？ 2013-9-27 13:17 0
pecado 雪币： 43 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 78 粉丝 0 关注私信	pecado 17 楼留名备案 2013-9-27 14:59 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 18 楼楼主辛苦了 2013-9-27 17:11 0
小小笑儿雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 1 关注私信	小小笑儿 19 楼 mark 2013-9-27 21:39 0
skyformat 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	skyformat 20 楼支持楼主啊。用这个能做一个串口监控的么？不占用串口的那种 2013-9-27 22:36 0
星逝雪币： 58 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	星逝 1 21 楼没仔细研究过，如果串口相关的例程经过KiFastCallEntry的话是可以的。 2013-9-28 09:13 0
囧囧囧囧雪币： 246 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	囧囧囧囧 22 楼有点深奥啊。。。木有什么看懂。。 2013-9-28 10:18 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 23 楼看的不是很明白啊，下下来好好研究啦 2013-9-28 17:39 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 24 楼支持一下 2013-9-28 23:17 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 25 楼代码还行关键代码位置蓝屏如何解决 2013-10-8 15:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复