[原创]x64内核编程小窥-SSDT HOOK笔记-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]x64内核编程小窥-SSDT HOOK笔记 0.00雪花

2014-11-15 00:46 14432

[旧帖] [原创]x64内核编程小窥-SSDT HOOK笔记 0.00雪花

sarsky

2014-11-15 00:46

14432

查看主题内容

收藏・93

点赞・1

打赏

最新回复 (64) ◀ 1 2 3 ▶
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 168 粉丝 2 关注私信	grusirna 1 2014-11-16 21:24 26 楼 0 非常不错,从宏观来解读x86和x64的一些区别,相对直接上代码的文章,能让新手快速入手~~~
mlyKnown 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 76 粉丝 0 关注私信	mlyKnown 2014-11-16 23:46 27 楼 0 TA的教程确实非常好。
virtualabc 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	virtualabc 2014-11-17 22:22 28 楼 0 加油
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2014-11-18 16:08 29 楼 1 3.64位下，每个驱动都有独立的4GB空间这是哪个老师哪本书教的?!!?!? 最基础的系统进程,内存知识哪去了??? 4G寻址范围 ≠ 独立4G空间.
binaryhead 雪币： 55 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	binaryhead 2014-11-18 16:12 30 楼 0 新手，看了楼主的HOOK文章很有收获。HOOK实现上基本上是通过内核驱动方式来实现，内核驱动是操作系统受信任的组件，64位Windows由于历史包袱较少的原因，对内核驱动加入了数字签名的强制要求，想问大牛一个初级问题，这些内核驱动如何部属到目标操作系统而不会引起使用者的明显注意？
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 2014-11-18 16:56 31 楼 0 读书心得笔记的分享还是很珍贵的，只是64位上的SSDT HOOK，由于patchguard还是不能用在真正的产品当中的。建议楼主看看正统方向的fsd hook之类的。
binaryhead 雪币： 55 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	binaryhead 2014-11-18 17:13 32 楼 0 差点就被误导了，亏得你来质疑。进一步的疑问，难道楼主是想说Windows x64是为每个内核驱动分配了4GB的地址空间？若这样，则48位虚拟地址情况下，内核空间总共128TB，也最多只够容纳32K，即32768个内核驱动，这还不算内核其它部分占用的空间啊。看来楼主的话还有进一步推敲的地方啊。
abbear 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	abbear 2014-11-18 19:18 33 楼 0 我还没转正。
蓝颜wg 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	蓝颜wg 2014-11-18 19:35 34 楼 0 VB如何使用XueTr.sys
cjbclown 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 32 粉丝 0 关注私信	cjbclown 2014-11-18 20:13 35 楼 0 64位的SSDT表没导出？这个我反驳，
derekalily 雪币： 1 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	derekalily 2014-11-18 21:08 36 楼 0 贮备好好看看
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-18 23:09 37 楼 0 是这样的么...不好意思，我这一点我还没确定，等确定了，我再把文章改改，谢谢您哈。顺便能不能问一问x64下驱动的内存空间是多大啊，因为目前国内研究x64驱动的资料很少啊，求大神告知...
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-18 23:11 38 楼 0 嗯，我就是做的笔记，很多地方看来还是需要修改的。谢谢您
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2014-11-18 23:55 39 楼 0 推荐你去看一本书邓志的<<x86/x64体系探索及编程>> 然后驱动资料其实差不多,细节不考虑,其变化只不过寄存器改变,从原来的32位地址变成64位地址.
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-19 00:03 40 楼 0 谢谢！！
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 2014-11-20 11:31 41 楼 0 好贴！！！学习了！！！
uphold 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	uphold 2014-11-20 22:30 42 楼 0 不错顶顶顶
byroncheng 雪币： 62 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	byroncheng 2014-11-20 22:57 43 楼 0 mark.
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-20 23:34 44 楼 0 嗯，谢谢！！
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-20 23:50 45 楼 0 别叫我大牛.... 关于这个问题，怎么说呢，对于PG和DSE，Anti它不如PASS它，因为Anti容易被检测，pass比较和谐。关于pass PG，这个方法真心不能公开，因为公开就被封了，连思路都没法共享，国外有大牛公开了三次过pg和dse的办法，发了软件，但是现在他采用的办法全被封了，之后就一直没有更新，都藏着掖着，这个也实属无奈啊。正当的做法最好购买数字签名吧。
清风破雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 11 粉丝 0 关注私信	清风破 2014-11-22 10:38 46 楼 0 支持一下……
jjjackup 雪币： 14296 活跃值： (2760) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 2014-11-22 10:42 47 楼 0 顶一个。
PPTV 雪币： 9093 活跃值： (1976) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 154 粉丝 0 关注私信	PPTV 2014-11-24 23:50 48 楼 0 不错，写的好像很详细！
ryysoft 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ryysoft 2014-11-25 21:12 49 楼 0 锐英源帮顶，锐英源擅长C语言、C++、C#、ASP.NET、Linux开发和软件工程
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 107 粉丝 0 关注私信	sinmon 2014-11-29 01:58 50 楼 0 Mark
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

sarsky

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (64) ◀ 1 2 3 ▶
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 168 粉丝 2 关注私信	grusirna 1 2014-11-16 21:24 26 楼 0 非常不错,从宏观来解读x86和x64的一些区别,相对直接上代码的文章,能让新手快速入手~~~
mlyKnown 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 76 粉丝 0 关注私信	mlyKnown 2014-11-16 23:46 27 楼 0 TA的教程确实非常好。
virtualabc 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	virtualabc 2014-11-17 22:22 28 楼 0 加油
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2014-11-18 16:08 29 楼 1 3.64位下，每个驱动都有独立的4GB空间这是哪个老师哪本书教的?!!?!? 最基础的系统进程,内存知识哪去了??? 4G寻址范围 ≠ 独立4G空间.
binaryhead 雪币： 55 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	binaryhead 2014-11-18 16:12 30 楼 0 新手，看了楼主的HOOK文章很有收获。HOOK实现上基本上是通过内核驱动方式来实现，内核驱动是操作系统受信任的组件，64位Windows由于历史包袱较少的原因，对内核驱动加入了数字签名的强制要求，想问大牛一个初级问题，这些内核驱动如何部属到目标操作系统而不会引起使用者的明显注意？
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 2014-11-18 16:56 31 楼 0 读书心得笔记的分享还是很珍贵的，只是64位上的SSDT HOOK，由于patchguard还是不能用在真正的产品当中的。建议楼主看看正统方向的fsd hook之类的。
binaryhead 雪币： 55 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	binaryhead 2014-11-18 17:13 32 楼 0 差点就被误导了，亏得你来质疑。进一步的疑问，难道楼主是想说Windows x64是为每个内核驱动分配了4GB的地址空间？若这样，则48位虚拟地址情况下，内核空间总共128TB，也最多只够容纳32K，即32768个内核驱动，这还不算内核其它部分占用的空间啊。看来楼主的话还有进一步推敲的地方啊。
abbear 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	abbear 2014-11-18 19:18 33 楼 0 我还没转正。
蓝颜wg 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	蓝颜wg 2014-11-18 19:35 34 楼 0 VB如何使用XueTr.sys
cjbclown 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 32 粉丝 0 关注私信	cjbclown 2014-11-18 20:13 35 楼 0 64位的SSDT表没导出？这个我反驳，
derekalily 雪币： 1 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	derekalily 2014-11-18 21:08 36 楼 0 贮备好好看看
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-18 23:09 37 楼 0 是这样的么...不好意思，我这一点我还没确定，等确定了，我再把文章改改，谢谢您哈。顺便能不能问一问x64下驱动的内存空间是多大啊，因为目前国内研究x64驱动的资料很少啊，求大神告知...
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-18 23:11 38 楼 0 嗯，我就是做的笔记，很多地方看来还是需要修改的。谢谢您
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2014-11-18 23:55 39 楼 0 推荐你去看一本书邓志的<<x86/x64体系探索及编程>> 然后驱动资料其实差不多,细节不考虑,其变化只不过寄存器改变,从原来的32位地址变成64位地址.
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-19 00:03 40 楼 0 谢谢！！
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 2014-11-20 11:31 41 楼 0 好贴！！！学习了！！！
uphold 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	uphold 2014-11-20 22:30 42 楼 0 不错顶顶顶
byroncheng 雪币： 62 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	byroncheng 2014-11-20 22:57 43 楼 0 mark.
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-20 23:34 44 楼 0 嗯，谢谢！！
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 78 粉丝 1 关注私信	sarsky 2014-11-20 23:50 45 楼 0 别叫我大牛.... 关于这个问题，怎么说呢，对于PG和DSE，Anti它不如PASS它，因为Anti容易被检测，pass比较和谐。关于pass PG，这个方法真心不能公开，因为公开就被封了，连思路都没法共享，国外有大牛公开了三次过pg和dse的办法，发了软件，但是现在他采用的办法全被封了，之后就一直没有更新，都藏着掖着，这个也实属无奈啊。正当的做法最好购买数字签名吧。
清风破雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 11 粉丝 0 关注私信	清风破 2014-11-22 10:38 46 楼 0 支持一下……
jjjackup 雪币： 14296 活跃值： (2760) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 2014-11-22 10:42 47 楼 0 顶一个。
PPTV 雪币： 9093 活跃值： (1976) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 154 粉丝 0 关注私信	PPTV 2014-11-24 23:50 48 楼 0 不错，写的好像很详细！
ryysoft 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ryysoft 2014-11-25 21:12 49 楼 0 锐英源帮顶，锐英源擅长C语言、C++、C#、ASP.NET、Linux开发和软件工程
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 107 粉丝 0 关注私信	sinmon 2014-11-29 01:58 50 楼 0 Mark
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复