[求助]hook 通讯问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]hook 通讯问题

发表于: 2014-8-14 19:39 8513

[求助]hook 通讯问题

siliemor

2014-8-14 19:39

8513

ring3 hook 了 ZwCreateProcessEx 后怎么用事件进行同步通讯，弹出对话框来阻止和允许进程创建，类似sendmessage！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (46) 1 2 ▶
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 2 楼既然你提到了sendmessage……这是可以直接用的呀，窗口收到特定消息后弹窗提示，把结果作为消息处理结果返回，就可以根据结果决定要不要放行了 2014-8-15 22:03 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 3 楼 sendmessage服务下不行 2014-8-16 04:25 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 4 楼 CreateEvent? 2014-8-16 08:17 0
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 5 楼嗯，可以考虑两个EVENT，与SignalObjectAndWait结合使用 2014-8-16 09:48 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 6 楼测试进程中WaitForSingleObject等待事件的时候，如果说住进程突然被结束，会导致死锁，WaitForSingleObject会一直等待下去，如果加了等待时间感觉又太牵强了！不知道有没大神指点下呢？ 2014-8-16 10:53 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 7 楼提升KIRQL至dispatch然后再降回来 wait要在ring3下做 2014-8-16 10:56 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 8 楼是在ring3吗？这个好像在ring0里面用的吧！ 2014-8-16 10:57 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 9 楼大家能不能给一个比较好的思路和方案呢？谢谢大家了 2014-8-16 10:59 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 10 楼我在描述下问题吧，ring3下hook后用什么方式可以快速通信到主进程，主进程过滤后觉定拦截和放行，sendmessage不能服务下使用，有没有一种通用效率又高的方法呢？ 2014-8-16 11:02 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 11 楼 ring3用WaitForSingleObject等待，现实效果一样 2014-8-16 11:02 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 12 楼就是这个办法噢，在dispatch时提到dispatch等级，然后ring3时WaitForSingleObject，ring3操作完降回去，一定要降回去，要不，嘿嘿，死的很难看. 我有一点很诧异，为什么大家都喜欢在内核态等东西呢？那很容易出问题的。 2014-8-16 11:03 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 13 楼 ring3 hook 后吗？ 2014-8-16 11:05 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 14 楼这个不在驱动中哈，就是ring3 hook 后和住进程通信问题 2014-8-16 11:08 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 15 楼我猜你的方案是走三次，ring3 目标进程hook->ring0 拿数据->ring3 回主进程处理，是这意思不？如果的话，我的答案没问题 2014-8-16 11:10 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 16 楼如果只是进程间的问题，不需要通信，建个filemapping共享内存就行了。然后在两个进程间各做一个锁，共享内存中做个标志，我想复杂咧，呵呵主进程做个线程，轮询处理，目标进程hook位置随便wait一下，等标志清零就行了，跟debugport原理一样补充一点，两进程间的read和write模式，现在很少用的。 2014-8-16 11:12 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 17 楼就是简单的ring3 hook 不走ring0 的，ring3 hook 后通信问题哈 2014-8-16 11:12 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 18 楼这个不在驱动中哈，就只是简单的ring3 hook 后和主进程通信问题哈 2014-8-16 11:14 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 19 楼嗯，我想复杂了。 2014-8-16 11:20 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 20 楼差不多这个意思，就是简单的ipc通信问题哈，比如hook一个函数，如果用WaitForSingleObject等待主线程后，主线程万一结束了，WaitForSingleObject还是会一直等待的，这个问题怎么解决呢？ 2014-8-16 11:23 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 21 楼就类似 madCodeHook 中的 SendIpcMessage 函数通信 2014-8-16 11:24 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 22 楼噗！用writeRrocessMemory把标志清零。 2014-8-16 11:26 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 23 楼有没具体的代码或者流程嘛！ 2014-8-16 11:27 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 24 楼做一个FIleMapping然后两边同时引用。两边就会共享一块内存。如果你主进程死球了。再找开一一次程序，还是映射FileMapping，然后在共享内存里清零 2014-8-16 11:28 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 25 楼 writeRrocessMemory 会阻塞吗？ 2014-8-16 11:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

siliemor

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) 1 2 ▶
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 2 楼既然你提到了sendmessage……这是可以直接用的呀，窗口收到特定消息后弹窗提示，把结果作为消息处理结果返回，就可以根据结果决定要不要放行了 2014-8-15 22:03 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 3 楼 sendmessage服务下不行 2014-8-16 04:25 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 4 楼 CreateEvent? 2014-8-16 08:17 0
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 5 楼嗯，可以考虑两个EVENT，与SignalObjectAndWait结合使用 2014-8-16 09:48 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 6 楼测试进程中WaitForSingleObject等待事件的时候，如果说住进程突然被结束，会导致死锁，WaitForSingleObject会一直等待下去，如果加了等待时间感觉又太牵强了！不知道有没大神指点下呢？ 2014-8-16 10:53 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 7 楼提升KIRQL至dispatch然后再降回来 wait要在ring3下做 2014-8-16 10:56 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 8 楼是在ring3吗？这个好像在ring0里面用的吧！ 2014-8-16 10:57 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 9 楼大家能不能给一个比较好的思路和方案呢？谢谢大家了 2014-8-16 10:59 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 10 楼我在描述下问题吧，ring3下hook后用什么方式可以快速通信到主进程，主进程过滤后觉定拦截和放行，sendmessage不能服务下使用，有没有一种通用效率又高的方法呢？ 2014-8-16 11:02 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 11 楼 ring3用WaitForSingleObject等待，现实效果一样 2014-8-16 11:02 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 12 楼就是这个办法噢，在dispatch时提到dispatch等级，然后ring3时WaitForSingleObject，ring3操作完降回去，一定要降回去，要不，嘿嘿，死的很难看. 我有一点很诧异，为什么大家都喜欢在内核态等东西呢？那很容易出问题的。 2014-8-16 11:03 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 13 楼 ring3 hook 后吗？ 2014-8-16 11:05 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 14 楼这个不在驱动中哈，就是ring3 hook 后和住进程通信问题 2014-8-16 11:08 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 15 楼我猜你的方案是走三次，ring3 目标进程hook->ring0 拿数据->ring3 回主进程处理，是这意思不？如果的话，我的答案没问题 2014-8-16 11:10 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 16 楼如果只是进程间的问题，不需要通信，建个filemapping共享内存就行了。然后在两个进程间各做一个锁，共享内存中做个标志，我想复杂咧，呵呵主进程做个线程，轮询处理，目标进程hook位置随便wait一下，等标志清零就行了，跟debugport原理一样补充一点，两进程间的read和write模式，现在很少用的。 2014-8-16 11:12 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 17 楼就是简单的ring3 hook 不走ring0 的，ring3 hook 后通信问题哈 2014-8-16 11:12 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 18 楼这个不在驱动中哈，就只是简单的ring3 hook 后和主进程通信问题哈 2014-8-16 11:14 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 19 楼嗯，我想复杂了。 2014-8-16 11:20 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 20 楼差不多这个意思，就是简单的ipc通信问题哈，比如hook一个函数，如果用WaitForSingleObject等待主线程后，主线程万一结束了，WaitForSingleObject还是会一直等待的，这个问题怎么解决呢？ 2014-8-16 11:23 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 21 楼就类似 madCodeHook 中的 SendIpcMessage 函数通信 2014-8-16 11:24 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 22 楼噗！用writeRrocessMemory把标志清零。 2014-8-16 11:26 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 23 楼有没具体的代码或者流程嘛！ 2014-8-16 11:27 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 24 楼做一个FIleMapping然后两边同时引用。两边就会共享一块内存。如果你主进程死球了。再找开一一次程序，还是映射FileMapping，然后在共享内存里清零 2014-8-16 11:28 0
siliemor 雪币： 142 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	siliemor 25 楼 writeRrocessMemory 会阻塞吗？ 2014-8-16 11:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复