X64 上如何拦截LPC 通讯 R0？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] X64 上如何拦截LPC 通讯 R0？ 0.00雪花

发表于: 2014-10-14 12:15 4139

[旧帖] X64 上如何拦截LPC 通讯 R0？ 0.00雪花

IamHuskar

2014-10-14 12:15

4139

由于X64 无法做SSDT HOOK 不可以像X86那样 HOOK zwalpcsendwaitreceiveport

而且 LPC不像网络模型有tcp udp设备可以附加过滤。他是通过创建port来通信的。把消息插入port的队列。

驱动中是否有回调或者其他办法拦截到LPC的通讯呢，比如 dns 查询以及windows打印，都是通过客户端LPC和服务通信，想要拦截这些通信数据以及相应的进程信息 X64下驱动中是否有办法。
看了reactos和wrk这一部分的代码也没找到好办法可以拦截。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (2)
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 2 楼不知道获取这个PORT的内核对象然后进行一些处理有没有问题 2014-10-14 12:58 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼 x64要过PG才可以Hook SSDT 2014-10-14 12:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

IamHuskar

发帖

1654

回帖

240

RANK

关注

私信

他的文章

[原创] 慢慢要告别逆向了 26202
[求助]准备换行了有什么建议吗？ 37079

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 2 楼不知道获取这个PORT的内核对象然后进行一些处理有没有问题 2014-10-14 12:58 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼 x64要过PG才可以Hook SSDT 2014-10-14 12:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复