首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创]win7 x64 下的Object Hook
发表于: 2015-9-1 04:07 14646

[原创]win7 x64 下的Object Hook

kz丶cn 活跃值
2015-9-1 04:07
14646

x86下Object Hook很简单,后来到了x64,发现Hook蓝屏,于是自己动手研究了下,发现PspProcessOpen是下是mov rcx,qword ptr [rsp+28h]得出至少9个参数
于是开始敲代码呗,不知道的全部用int64替换掉,重要的几个参数通过逆向得到了,
直接上码吧 不需要过PG
上个图


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 3
支持
分享
最新回复 (13)
kz丶cn
雪    币: 256
活跃值: (48)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
2
代码写的不好,只是测试用的...
2015-9-1 04:12
0
GeekCheng
雪    币: 22
活跃值: (242)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
3
好东西啊,X64的 object钩子
2015-9-1 07:45
0
啤酒肚
雪    币: 97
活跃值: (141)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
你对PG理解,太少了。不是简单的改函数,改参数就ok的。你这个是可以运行了,但是过半个小时就会蓝屏。
2015-9-1 08:30
0
木瓜枫叶
雪    币: 459
活跃值: (398)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
5
是啊,PG 还是会检测到的,老师,pass pg 不现实啊,客户知道的话不会同意的,有啥好办法没
还有,win64 下 有没有好的隐藏dll 的办法呢,求老师指教
2015-9-1 08:58
0
影子不寂寞
雪    币: 6
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
楼主辛苦了,那么晚还在发技术帖。
2015-9-1 09:26
0
viphack
雪    币: 219
活跃值: (783)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
私信
7
10个参数才对
2015-9-1 11:03
0
z许
雪    币: 1895
活跃值: (1657)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
8
你这个。要是打开权限之类的话,为嘛要用obj hook,直接用obj回调哇。

ObRegisterCallbacks

http://bbs.pediy.com/showthread.php?t=168023
2015-9-1 14:10
0
kz丶cn
雪    币: 256
活跃值: (48)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
9
我测试没蓝
2015-9-1 20:38
0
kz丶cn
雪    币: 256
活跃值: (48)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
10
貌似对openProcess的处理不太好..
2015-9-1 20:40
0
啤酒肚
雪    币: 97
活跃值: (141)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
11
如果这条路能走通,x64早就大批hook出现了。
2015-9-2 06:27
0
KiDebug
雪    币: 544
活跃值: (264)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
12
win7 x64 objecthook 不会蓝屏。从win8开始会,所以还是ObRegisterCallbacks吧
2015-9-2 21:32
0
xmlpull
雪    币: 99
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
学习了。
2015-9-3 12:56
0
老坛酸菜TM
雪    币: 42
活跃值: (208)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
不是有现成的ObRegisterCallbacks吗,你还这么折腾干什么!
NTSTATUS ObProtectProcess(BOOLEAN Enable)
{
       PAGED_CODE();
       if (Enable == TRUE)
       {
               NTSTATUS obst1 = 0, obst2 = 0;
               OB_CALLBACK_REGISTRATION obReg, obReg2;
               OB_OPERATION_REGISTRATION opReg, opReg2;

               //reg ob callback 1
               memset(&obReg, 0, sizeof(obReg));
               obReg.Version = ObGetFilterVersion();
               obReg.OperationRegistrationCount = 1;
               obReg.RegistrationContext = NULL;
               RtlInitUnicodeString(&obReg.Altitude, L"321124");
               obReg.OperationRegistration = &opReg;
               memset(&opReg, 0, sizeof(opReg));
               opReg.ObjectType = PsProcessType;
               opReg.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;
               opReg.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall;
               obst1 = ObRegisterCallbacks(&obReg, &obHandle);

               //reg ob callback 2
               memset(&obReg2, 0, sizeof(obReg2));
               obReg2.Version = ObGetFilterVersion();
               obReg2.OperationRegistrationCount = 1;
               obReg2.RegistrationContext = NULL;
               RtlInitUnicodeString(&obReg2.Altitude, L"321125");
               obReg2.OperationRegistration = &opReg2;
               memset(&opReg2, 0, sizeof(opReg2));
               opReg2.ObjectType = PsThreadType;
               opReg2.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;
               opReg2.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preCall2;
               obst1 = ObRegisterCallbacks(&obReg2, &obHandle2);
               
               return NT_SUCCESS(obst1) & NT_SUCCESS(obst2);
       }
       else
       {
               if (obHandle != NULL)
                       ObUnRegisterCallbacks(obHandle);
               if (obHandle2 != NULL)
                       ObUnRegisterCallbacks(obHandle2);
               return TRUE;
       }
}
2018-7-17 16:18
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//