[求助]恢复一个软件的ssdt hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]恢复一个软件的ssdt hook

发表于: 2015-7-6 21:40 12467

[求助]恢复一个软件的ssdt hook

不良人

2015-7-6 21:40

12467

学校机房里都安装了联想网络控制工具，软件功能很强大，远程开机关机，同传等等。
一个哥们贱贱的问我，能把它办了不。然后，我就丢人了。

首先，用任务管理器结束任务试试，预料之中，“无法访问”。我想，可能是hook了几个Ring3层函数，那我就试试驱动吧。
接着，前两天刚写的几个Ring0层结束进程的驱动，于是拿来试试，没想到，也不可以，应该是把内核函数hook了。
然后，借助超级强大的XueTr工具来看看吧，果不其然，ssdt被hook了。XueTr可以恢复ssdt hook,然后把它hook的NtOpenProcess,NtTerminateProcess等几个函数恢复了，不过，高兴地太早了，刷新一下，那几个函数又被hook了。
然后，既然XueTr不给力，那我就自己试试吧，用XurTr查看内核函数的现地址与原地址，然后，反汇编，在开头部分，jmp 到内核函数原地址。唉~ 又失败了

求助啊，各位大神，指导下思路，最好有详细的步骤。
图片稍等上传。。。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (40) 1 2 ▶
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 2 楼就是那个绿色的。。。。上传的附件： 2014100810233776.jpg （8.34kb，2次下载） 2015-7-6 21:46 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 3 楼 Hook一下Win32k!NtUserTrackPopupMenu，然后右键那个程序弹菜单。然后在HOOK处理函数发现是目标进程就自杀。 2015-7-6 21:53 0
yypEx 雪币： 459 活跃值： (166) 能力值： ( LV9，RANK：165 ) 在线值：发帖 16 回帖 72 粉丝 2 关注私信	yypEx 4 楼 Lz试试CreateRemoteThread ExitProcess自杀，如果联想网络控制工具HOOK中有对自身exitprocess过滤的话就能行。 2015-7-6 22:20 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 5 楼楼主说了，NtOpenProcess被钩了，Open都Open不开。 2015-7-7 09:34 0
yypEx 雪币： 459 活跃值： (166) 能力值： ( LV9，RANK：165 ) 在线值：发帖 16 回帖 72 粉丝 2 关注私信	yypEx 6 楼 2015-7-7 12:24 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 7 楼右键点退出阿， 2015-7-7 12:47 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 8 楼 Anti-SSDT HOOK的办法可以用360的Hook KiFastCallEntry的办法 2015-7-7 12:57 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 9 楼退出需要密码的...... 2015-7-7 18:01 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 10 楼能不能说的详细些，或者给个链接。。。 2015-7-7 18:03 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 11 楼退出需要输入管理密码，能不能说的详细些，谢谢。。。 2015-7-7 18:04 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 12 楼你先HOOK一下Win32k!NtUserTrackPopupMenuEx，假设HOOK处理函数是FakeProc，你右键点击那个程序X，X内部就会调用TrackPopupMenu/TrackPopupMenuEx，然后系统调用进入内核，进入到你的FakeProc。你FakeProc发现是要杀的进程X，就自杀。不过HOOK win32k太麻烦了，你可以换个比较常用的系统调用，比如NtCreateFile，一样的方法 2015-7-7 18:23 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 13 楼哦~ 真是独辟蹊径啊！！！那我该怎么让它自杀呢？自杀不会调用被它hook的函数么？？ 2015-7-7 21:01 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 14 楼全局钩子能注入进去么~注入进去exitprocess.各种阿，或者让它直接崩~ 2015-7-8 00:29 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 15 楼 NtOpenProcess 被hook了 2015-7-8 10:19 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 16 楼你是要结束这个控制端吗？那既然都能打开XUETR了那就直接结束呗，XUETR本身就是走重载的，不行话你就暂停，或者结束所有线程，或者用KD在他的跳转里补全被HOOK的代码再跳回来，又或者用KD清空客户端的内存不也结束了 2015-7-8 10:28 0
lion张雪币： 205 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 89 粉丝 2 关注私信	lion张 17 楼其实能不能找到判断密码的地方，修改使之直接跳过然后退出呢？ 2015-7-8 10:36 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 18 楼全局钩子又不打开进程。 2015-7-8 22:02 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 19 楼绕过NtOpenProcess Hook难道很难吗？ 2015-7-8 22:23 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 20 楼 XueTr结束不了，结束之后，进程重启 2015-7-9 10:20 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 21 楼嗯，本以为它hook了Ntopenprocess,就不能注入了，没想到还能注入，但是exitProcess后它会自动重启进程 2015-7-9 10:22 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 22 楼勾上结束进程时删除文件，再结束 2015-7-9 11:07 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 23 楼成功了，请问，你知道它进程重启的原理吗？？ 2015-7-9 19:52 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 24 楼重启肯定是有其它进程给拉起来的，你断下进程创建，看看谁拉起来的 2015-7-9 20:09 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 25 楼怎么断？我hook了 CreateProcess 它还是会重启 NtCreateProcess没做好，总是蓝屏，请大侠赐教。。。。 2015-7-9 20:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

不良人

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 2 楼就是那个绿色的。。。。上传的附件： 2014100810233776.jpg （8.34kb，2次下载） 2015-7-6 21:46 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 3 楼 Hook一下Win32k!NtUserTrackPopupMenu，然后右键那个程序弹菜单。然后在HOOK处理函数发现是目标进程就自杀。 2015-7-6 21:53 0
yypEx 雪币： 459 活跃值： (166) 能力值： ( LV9，RANK：165 ) 在线值：发帖 16 回帖 72 粉丝 2 关注私信	yypEx 4 楼 Lz试试CreateRemoteThread ExitProcess自杀，如果联想网络控制工具HOOK中有对自身exitprocess过滤的话就能行。 2015-7-6 22:20 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 5 楼楼主说了，NtOpenProcess被钩了，Open都Open不开。 2015-7-7 09:34 0
yypEx 雪币： 459 活跃值： (166) 能力值： ( LV9，RANK：165 ) 在线值：发帖 16 回帖 72 粉丝 2 关注私信	yypEx 6 楼 2015-7-7 12:24 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 7 楼右键点退出阿， 2015-7-7 12:47 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 8 楼 Anti-SSDT HOOK的办法可以用360的Hook KiFastCallEntry的办法 2015-7-7 12:57 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 9 楼退出需要密码的...... 2015-7-7 18:01 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 10 楼能不能说的详细些，或者给个链接。。。 2015-7-7 18:03 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 11 楼退出需要输入管理密码，能不能说的详细些，谢谢。。。 2015-7-7 18:04 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 12 楼你先HOOK一下Win32k!NtUserTrackPopupMenuEx，假设HOOK处理函数是FakeProc，你右键点击那个程序X，X内部就会调用TrackPopupMenu/TrackPopupMenuEx，然后系统调用进入内核，进入到你的FakeProc。你FakeProc发现是要杀的进程X，就自杀。不过HOOK win32k太麻烦了，你可以换个比较常用的系统调用，比如NtCreateFile，一样的方法 2015-7-7 18:23 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 13 楼哦~ 真是独辟蹊径啊！！！那我该怎么让它自杀呢？自杀不会调用被它hook的函数么？？ 2015-7-7 21:01 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 14 楼全局钩子能注入进去么~注入进去exitprocess.各种阿，或者让它直接崩~ 2015-7-8 00:29 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 15 楼 NtOpenProcess 被hook了 2015-7-8 10:19 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 16 楼你是要结束这个控制端吗？那既然都能打开XUETR了那就直接结束呗，XUETR本身就是走重载的，不行话你就暂停，或者结束所有线程，或者用KD在他的跳转里补全被HOOK的代码再跳回来，又或者用KD清空客户端的内存不也结束了 2015-7-8 10:28 0
lion张雪币： 205 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 89 粉丝 2 关注私信	lion张 17 楼其实能不能找到判断密码的地方，修改使之直接跳过然后退出呢？ 2015-7-8 10:36 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 18 楼全局钩子又不打开进程。 2015-7-8 22:02 0
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 19 楼绕过NtOpenProcess Hook难道很难吗？ 2015-7-8 22:23 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 20 楼 XueTr结束不了，结束之后，进程重启 2015-7-9 10:20 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 21 楼嗯，本以为它hook了Ntopenprocess,就不能注入了，没想到还能注入，但是exitProcess后它会自动重启进程 2015-7-9 10:22 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 22 楼勾上结束进程时删除文件，再结束 2015-7-9 11:07 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 23 楼成功了，请问，你知道它进程重启的原理吗？？ 2015-7-9 19:52 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 24 楼重启肯定是有其它进程给拉起来的，你断下进程创建，看看谁拉起来的 2015-7-9 20:09 0
不良人雪币： 12 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 44 粉丝 1 关注私信	不良人 25 楼怎么断？我hook了 CreateProcess 它还是会重启 NtCreateProcess没做好，总是蓝屏，请大侠赐教。。。。 2015-7-9 20:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复